aboutsummaryrefslogtreecommitdiffstats
path: root/russian/lts/security/2014/dla-81.wml
blob: 69021bd6c293d912321bf0bdb358469e33139fae (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности LTS</define-tag>
<define-tag moreinfo>
<p>В OpenSSL было обнаружено несколько уязвимостей.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566">CVE-2014-3566</a>

<p>("POODLE")</p>

    <p>В способе, используемом SSL 3.0 для обработки заполняющих байтов, при
    расшифровке сообщений, зашифрованных с использованием блочных шифров в режиме CBC, была
    обнаружена уязвимость. Эта уязвимость позволяет путём атаки по принципу человек-в-середине (MITM)
    расшифровать избранные байты шифротекста за 256 попыток в том случае,
    если злоумышленник может заставить приложение жертвы повторно
    отправлять одни и те же данные по заново создаваемым соединениям SSL 3.0.</p>

    <p>Данное обновление добавляет поддержку для Fallback SCSV с тем, чтобы уменьшить риск данной проблемы.
    Это не исправляет проблему.  Исправить её можно только отключив
    поддержку SSL 3.0.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3567">CVE-2014-3567</a>

    <p>Была обнаружена утечка памяти в способе, используемом OpenSSL для обработки
    неудачных проверок целостности билета сессии. Удалённый злоумышленник может исчерпать всю
    доступную память SSL/TLS или DTLS сервера путём отправки этому серверу
    большого количества некорректных сессионных билетов.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3568">CVE-2014-3568</a>

    <p>Если сборка OpenSSL была произведена с опцией "no-ssl3", то серверы
    принимают и завершают рукопожатие SSL 3.0, а клиенты настраиваются
    на отправку таких рукопожатий.</p>

    <p>Заметьте, что пакет в Debian собирается без этой опции.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3569">CVE-2014-3569</a>

    <p>Если сборка OpenSSL была произведена с опцией "no-ssl3", и получено сообщение SSL v3 Client
    Hello, то метод ssl устанавливается в значение NULL, что позже может приводить
    к разыменованию NULL-указателя.</p>

    <p>Заметьте, что пакет в Debian собирается без этой опции.</p></li>

</ul>

<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в пакете openssl версии 0.9.8o-4squeeze18</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-81.data"
# $Id$

© 2014-2024 Faster IT GmbH | imprint | privacy policy