22817 2010-01-24 18:18:48 +0300 OpenSSL "CRYPTO_free_all_ex_data()" Memory Leak Vulnerability 2010-09-30 13:44:10 +0400 1 1 4 Development Sisyphus openssl unstable all Linux CLOSED FIXED security P3 critical --- 23037 1 drool glebfm glebfm qa-sisyphus oldest_to_newest 105881 0 drool 2010-01-24 18:18:48 +0300 В библиотеке OpenSSL была обнаружена уязвимость, позволяющая злоумышленнику провести DoS атаку через исчерпание доступной памяти. Уязвимая функция CRYPTO_free_all_ex_data() используется в таких приложениях как Apache с модулем PHP Патч: http://cvs.openssl.org/chngview?cn=19069 Информация: http://www.vupen.com/english/advisories/2010/0124 http://www.linux.org.ru/view-message.jsp?msgid=4469757&lastmod=1264332484924 105895 1 sin 2010-01-24 21:56:57 +0300 Будем чинить... openssl-0.9.8m-beta1, заодно, посмотрю... 112900 2 repository-robot 2010-09-30 13:44:10 +0400 openssl098-0.9.8o-alt1 -> sisyphus: * Wed Sep 29 2010 Dmitry V. Levin <ldv@altlinux> 0.9.8o-alt1 - Updated to 0.9.8o (fixes CVE-2010-0742). - Fixed ssl/dtls1.h ABI breakage introduced in 0.9.8m. - Fixed 0.9.8m build regression on architectures where %_lib != lib. * Thu Mar 25 2010 Evgeny Sinelnikov <sin@altlinux> 0.9.8n-alt1 - Updated to 0.9.8n (fixes CVE-2010-0740 and CVE-2010-0433). * Fri Feb 26 2010 Evgeny Sinelnikov <sin@altlinux> 0.9.8m-alt1 - Updated to 0.9.8m with security fixes and improvements, including: + CVE-2009-3245, CVE-2008-1678 + CVE-2009-1377, CVE-2009-1378, CVE-2009-1379 + CVE-2009-1387 (closes: #20280) + CVE-2009-4355 (closes: #22817, #23037) + patch for Cisco VPN client DTLS