Множественные уязвимости в OpenSSL

Дата публикации:19.03.2015
Всего просмотров:3296
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:14
CVSSv2 рейтинг: 5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
CVE ID: CVE-2015-0291
CVE-2015-0204
CVE-2015-0290
CVE-2015-0207
CVE-2015-0286
CVE-2015-0208
CVE-2015-0287
CVE-2015-0289
CVE-2015-0292
CVE-2015-0293
CVE-2015-1787
CVE-2015-0285
CVE-2015-0209
CVE-2015-0288
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Раскрытие важных данных
Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: OpenSSL 1.x
Уязвимые версии: OpenSSL 1.0.2, возможно более ранние версии
Описание:

Удаленный пользователь может обойти ограничения безопасности.

1. Уязвимость существует из-за при обработке недействительных подписей алгоритмов. Удаленный пользователь может вызвать отказ в обслуживании.

2. Уязвимость существует из-за ошибки в функционале RSA export ciphersuite. Удаленный пользователь может осуществить MitM-атаку.

3. Уязвимость существует из-за ошибки в реализации multiblock. Удаленный пользователь может вызвать отказ в обслуживании.

4. Уязвимость существует из-за ошибки сегментации в функции "DTLSv1_listen". Удаленный пользователь может вызвать отказ в обслуживании.

5. Уязвимость существует из-за ошибки чтения в функции "ASN1_TYPE_cmp". Удаленный пользователь может вызвать отказ в обслуживании.

6. Уязвимость существует из-за ошибки разыменования нулевого указателя при проведении процедуры проверки подписи. Удаленный пользователь может вызвать отказ в обслуживании.

7. Уязвимость существует из-за ошибки при повторном использовании ASN.1. Удаленный пользователь может вызвать повреждение памяти.

8. Уязвимость существует из-за того, что код PKCS#7 некорректно обрабатывает ContentInfo. Удаленный пользователь может вызвать отказ в обслуживании.

9. Уязвимость существует из-за ошибки, связанной с обработкой данных, зашифрованных через base64. Удаленный пользователь может вызвать повреждение памяти.

10. Уязвимость существует из-за ошибки при обработке сообщений SSLv2 CLIENT-MASTER-KEY. Удаленный пользователь может вызвать отказ в обслуживании.

11. Уязвимость существует из-за ошибки при обработке сообщений ClientKeyExchange нулевой длины. Удаленный пользователь может вызвать отказ в обслуживании.

12. Уязвимость существует из-за того, что при определенных обстоятельствах OpenSSL генерирует некоторые значения предсказуемым образом. Удаленный пользователь может получить доступ к важным данным.

13. Уязвимость существует из-за ошибки использования после освобождения в функции d2i_ECPrivateKey в файле EC private key. Удаленный пользователь может вызвать отказ в обслуживании.

14. Уязвимость существует из-за ошибки при обработке недействительных ключей сертификата в функции X509_to_X509_REQ. Удаленный пользователь может вызвать отказ в обслуживании.

URL производителя: https://www.openssl.org/
Решение: Установите последнюю версию 1.0.2а с сайта производителя.
Ссылки: https://www.openssl.org/news/secadv_20150319.txt