Множественные уязвимости в OpenSSL

Дата публикации:
19.03.2015
Дата изменения:
19.03.2015
Всего просмотров:
3170
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
14
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:OF/RC:C) = Base:7.5/Temporal:5.5
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
CVE ID:
CVE-2015-0291
CVE-2015-0204
CVE-2015-0290
CVE-2015-0207
CVE-2015-0286
CVE-2015-0208
CVE-2015-0287
CVE-2015-0289
CVE-2015-0292
CVE-2015-0293
CVE-2015-1787
CVE-2015-0285
CVE-2015-0209
CVE-2015-0288
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
OpenSSL 1.x
Уязвимые версии:
OpenSSL 1.0.2, возможно более ранние версии

Описание:

Удаленный пользователь может обойти ограничения безопасности.

1. Уязвимость существует из-за при обработке недействительных подписей алгоритмов. Удаленный пользователь может вызвать отказ в обслуживании.

2. Уязвимость существует из-за ошибки в функционале RSA export ciphersuite. Удаленный пользователь может осуществить MitM-атаку.

3. Уязвимость существует из-за ошибки в реализации multiblock. Удаленный пользователь может вызвать отказ в обслуживании.

4. Уязвимость существует из-за ошибки сегментации в функции "DTLSv1_listen". Удаленный пользователь может вызвать отказ в обслуживании.

5. Уязвимость существует из-за ошибки чтения в функции "ASN1_TYPE_cmp". Удаленный пользователь может вызвать отказ в обслуживании.

6. Уязвимость существует из-за ошибки разыменования нулевого указателя при проведении процедуры проверки подписи. Удаленный пользователь может вызвать отказ в обслуживании.

7. Уязвимость существует из-за ошибки при повторном использовании ASN.1. Удаленный пользователь может вызвать повреждение памяти.

8. Уязвимость существует из-за того, что код PKCS#7 некорректно обрабатывает ContentInfo. Удаленный пользователь может вызвать отказ в обслуживании.

9. Уязвимость существует из-за ошибки, связанной с обработкой данных, зашифрованных через base64. Удаленный пользователь может вызвать повреждение памяти.

10. Уязвимость существует из-за ошибки при обработке сообщений SSLv2 CLIENT-MASTER-KEY. Удаленный пользователь может вызвать отказ в обслуживании.

11. Уязвимость существует из-за ошибки при обработке сообщений ClientKeyExchange нулевой длины. Удаленный пользователь может вызвать отказ в обслуживании.

12. Уязвимость существует из-за того, что при определенных обстоятельствах OpenSSL генерирует некоторые значения предсказуемым образом. Удаленный пользователь может получить доступ к важным данным.

13. Уязвимость существует из-за ошибки использования после освобождения в функции d2i_ECPrivateKey в файле EC private key. Удаленный пользователь может вызвать отказ в обслуживании.

14. Уязвимость существует из-за ошибки при обработке недействительных ключей сертификата в функции X509_to_X509_REQ. Удаленный пользователь может вызвать отказ в обслуживании.


URL производителя: https://www.openssl.org/

Решение: Установите последнюю версию 1.0.2а с сайта производителя.

Ссылки: https://www.openssl.org/news/secadv_20150319.txt