Bug 30644 - Multiple vulnerabilities (include 2015 year CVEs)
Summary: Multiple vulnerabilities (include 2015 year CVEs)
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: openssl (show other bugs)
Version: unstable
Hardware: all Linux
: P3 normal
Assignee: Gleb F-Malinovskiy
QA Contact: qa-sisyphus
URL: https://www.debian.org/security/2015/...
Keywords:
Depends on:
Blocks:
 
Reported: 2015-01-12 12:28 MSK by Mike Lykov
Modified: 2015-01-12 16:50 MSK (History)
1 user (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Mike Lykov 2015-01-12 12:28:16 MSK
В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены многочисленные проблемы безопасности. (8 штук по ссылкам)

например, такие:

CVE-2014-3571
...специально сформированное сообщение DTLS может приводить к ошибке сегментации в OpenSSL из-за разыменования NULL-указателя. Удалённый злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании.
Vulnerable software and versions
openssl:1.0.1j

CVE-2015-0205 
...Данная уязвимость позволяет клиентам аутентифицироваться без использования закрытого ключа с помощью специально сформированного трафика по протоколу рукопожатия TLS, отправленного на сервер, распознающий авторитетные источники сертифицирования с поддержкой DH.

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0205
Vulnerable software and versions
... openssl:1.0.1j

Это продолжение для  1.0.1j-alt1  Updated to 1.0.1j (fixes CVE..), там закончилось на CVE-2014-3568, тут продолжается с CVE-2014-3569.
Comment 1 Repository Robot 2015-01-12 16:50:46 MSK
openssl10-1.0.1k-alt1 -> sisyphus:

* Mon Jan 12 2015 Gleb F-Malinovskiy <glebfm@altlinux> 1.0.1k-alt1
- Updated to 1.0.1k (fixes CVE-2014-3571, CVE-2015-0206, CVE-2014-3569,
  CVE-2014-3572, CVE-2015-0204, CVE-2015-0205, CVE-2014-8275,
  CVE-2014-3570) (closes: 30644).