Bug 30644 - Multiple vulnerabilities (include 2015 year CVEs)
: Multiple vulnerabilities (include 2015 year CVEs)
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/openssl)
: unstable
: all Linux
: P3 normal
Assigned To:
:
: https://www.debian.org/security/2015/...
:
:
:
  Show dependency tree
 
Reported: 2015-01-12 12:28 by
Modified: 2015-01-12 16:50 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2015-01-12 12:28:16
В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены
многочисленные проблемы безопасности. (8 штук по ссылкам)

например, такие:

CVE-2014-3571
...специально сформированное сообщение DTLS может приводить к ошибке
сегментации в OpenSSL из-за разыменования NULL-указателя. Удалённый
злоумышленник может использовать эту уязвимость для вызова отказа в
обслуживании.
Vulnerable software and versions
openssl:1.0.1j

CVE-2015-0205 
...Данная уязвимость позволяет клиентам аутентифицироваться без использования
закрытого ключа с помощью специально сформированного трафика по протоколу
рукопожатия TLS, отправленного на сервер, распознающий авторитетные источники
сертифицирования с поддержкой DH.

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0205
Vulnerable software and versions
... openssl:1.0.1j

Это продолжение для  1.0.1j-alt1  Updated to 1.0.1j (fixes CVE..), там
закончилось на CVE-2014-3568, тут продолжается с CVE-2014-3569.
------- Comment #1 From 2015-01-12 16:50:46 -------
openssl10-1.0.1k-alt1 -> sisyphus:

* Mon Jan 12 2015 Gleb F-Malinovskiy <glebfm@altlinux> 1.0.1k-alt1
- Updated to 1.0.1k (fixes CVE-2014-3571, CVE-2015-0206, CVE-2014-3569,
  CVE-2014-3572, CVE-2015-0204, CVE-2015-0205, CVE-2014-8275,
  CVE-2014-3570) (closes: 30644).