Обновление OpenSSL 1.0.0l и 1.0.1f

06.01.2014 20:43

Представлены корректирующие релизы библиотеки с реализацией протоколов SSL/TLS - OpenSSL 1.0.0l и 1.0.1f, в которых проведена работа по исправлению ошибок и устранено несколько уязвимостей. В частности, устранена уязвимость (CVE-2013-6450) в коде обработки DTLS, которая может привести к краху приложения, использующего OpenSSL и DTLS.

В версии 1.0.1f дополнительно устранены две уязвимости: CVE-2013-6449 может привести к краху при использовании TLS 1.2, CVE-2013-4353 - детали не сообщаются, но проблема связана с возможностью фальсификации записей TLS. Кроме того, прекращено включение времени gmt_unix_time в число случайных значений на стороне клиента и сервера.

исправить +6 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/38796-openssl

Ключевые слова: openssl

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (5)

RSS

1.1, Аноним (-), 20:54, 06/01/2014 [ответить]	+/–
> детали не сообщаются Обидно

2.2, Кирилл (??), 21:41, 06/01/2014 [^] [^^] [^^^] [ответить]	+2 +/–
Генератор псевдослучайнх чисел пофиксили.

2.3, Sylvia (ok), 21:47, 06/01/2014 [^] [^^] [^^^] [ответить]	+1 +/–
http://www.debian.org/security/2014/dsa-2833 вот это + еще одна cve-шка

3.4, Andrey Mitrofanov (?), 22:15, 06/01/2014 [^] [^^] [^^^] [ответить]

+/–

>debian.org/security/2014/dsa-2833
> вот это + еще одна cve-шка

Именно _CVE_-шки там два из трёз, укащанных в жтой новости. И там нет имнно той, про которую детали не сообщаются. "Ещё одна", да.

===
И в Debian-e "на подходе" всё та же 1.0.1f с объяснением в 1 строку:

1    openssl (1.0.1f-1) unstable; urgency=high
2
3       * New upstream version
4         - Fix for TLS record tampering bug CVE-2013-4353

4.6, Sylvia (ok), 20:55, 07/01/2014 [^] [^^] [^^^] [ответить]	+/–
Current status: 3 updates [+3]. The following packages will be upgraded: libssl-dev libssl1.0.0 openssl да, Debian security уже родили обновления

игнорирование участников | лог модерирования

Добавить комментарий

Текст: