1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
|
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности LTS</define-tag>
<define-tag moreinfo>
<p>В OpenSSL было обнаружено несколько уязвимостей.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566">CVE-2014-3566</a>
<p>("POODLE")</p>
<p>В способе, используемом SSL 3.0 для обработки заполняющих байтов, при
расшифровке сообщений, зашифрованных с использованием блочных шифров в режиме CBC, была
обнаружена уязвимость. Эта уязвимость позволяет путём атаки по принципу человек-в-середине (MITM)
расшифровать избранные байты шифротекста за 256 попыток в том случае,
если злоумышленник может заставить приложение жертвы повторно
отправлять одни и те же данные по заново создаваемым соединениям SSL 3.0.</p>
<p>Данное обновление добавляет поддержку для Fallback SCSV с тем, чтобы уменьшить риск данной проблемы.
Это не исправляет проблему. Исправить её можно только отключив
поддержку SSL 3.0.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3567">CVE-2014-3567</a>
<p>Была обнаружена утечка памяти в способе, используемом OpenSSL для обработки
неудачных проверок целостности билета сессии. Удалённый злоумышленник может исчерпать всю
доступную память SSL/TLS или DTLS сервера путём отправки этому серверу
большого количества некорректных сессионных билетов.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3568">CVE-2014-3568</a>
<p>Если сборка OpenSSL была произведена с опцией "no-ssl3", то серверы
принимают и завершают рукопожатие SSL 3.0, а клиенты настраиваются
на отправку таких рукопожатий.</p>
<p>Заметьте, что пакет в Debian собирается без этой опции.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3569">CVE-2014-3569</a>
<p>Если сборка OpenSSL была произведена с опцией "no-ssl3", и получено сообщение SSL v3 Client
Hello, то метод ssl устанавливается в значение NULL, что позже может приводить
к разыменованию NULL-указателя.</p>
<p>Заметьте, что пакет в Debian собирается без этой опции.</p></li>
</ul>
<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете openssl версии 0.9.8o-4squeeze18</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-81.data"
# $Id$
|