Все бюллетени/c7/ALT-PU-2015-1030-1
ALT-PU-2015-1030-1

Обновление пакета openssl10 в ветке c7

Версия1.0.1k-alt1.M70C.1
Задание#138378
Опубликовано2015-01-13
Макс. серьёзностьHIGH
Серьёзность:

Закрытые проблемы (23)

BDU:2015-06127
HIGH7.1

Уязвимости операционной системы Red Hat Enterprise Linux, позволяющие удаленному нарушителю нарушить доступность защищаемой информации

Опубликовано: 2015-06-02Изменено: 2016-11-28
CVSS 2.0ВЫСОКАЯ 7.1
CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:C
Ссылки
BDU:2015-06128
HIGH7.1

Уязвимости операционной системы Red Hat Enterprise Linux, позволяющие удаленному нарушителю нарушить доступность защищаемой информации

Опубликовано: 2015-06-02Изменено: 2016-11-28
CVSS 2.0ВЫСОКАЯ 7.1
CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:C
Ссылки
BDU:2015-06129
HIGH7.1

Уязвимости операционной системы Red Hat Enterprise Linux, позволяющие удаленному нарушителю нарушить доступность защищаемой информации

Опубликовано: 2015-06-01Изменено: 2016-11-28
CVSS 2.0ВЫСОКАЯ 7.1
CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:C
Ссылки
BDU:2015-06130
HIGH7.1

Уязвимости операционной системы Red Hat Enterprise Linux, позволяющие удаленному нарушителю нарушить доступность защищаемой информации

Опубликовано: 2015-06-02Изменено: 2016-11-28
CVSS 2.0ВЫСОКАЯ 7.1
CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:C
Ссылки
BDU:2015-06131
HIGH7.1

Уязвимости операционной системы Red Hat Enterprise Linux, позволяющие удаленному нарушителю нарушить доступность защищаемой информации

Опубликовано: 2015-06-01Изменено: 2016-11-28
CVSS 2.0ВЫСОКАЯ 7.1
CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:C
Ссылки
BDU:2015-09819
MEDIUM6.4

Уязвимости операционной системы Альт Линукс СПТ, позволяющие удаленному злоумышленнику нарушить целостность и доступность передаваемой защищаемой информации

Опубликовано: 2016-07-07Изменено: 2016-11-30
CVSS 2.0СРЕДНЯЯ 6.4
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:P/A:P
Ссылки
BDU:2015-09905
HIGH7.5

Уязвимости системы автоматизации деятельности предприятия 1С:Предприятие, позволяющие злоумышленнику вызвать отказ в обслуживании или получить доступ к зашифрованным данным без знания ключа шифрования

Опубликовано: 2016-07-05Изменено: 2017-06-21
CVSS 2.0ВЫСОКАЯ 7.5
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P
Ссылки
BDU:2015-09960
MEDIUM4.3

Уязвимость программной платформы Java Platform, позволяющая нарушителю, действующему удаленно, упростить процесс расшифровки сообщения

Опубликовано: 2016-07-07Изменено: 2021-03-23
CVSS 2.0СРЕДНЯЯ 4.3
CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:P/A:N
Ссылки
BDU:2015-09963
MEDIUM4.3

Уязвимость программной платформы JRockit, позволяющая нарушителю, действующему удаленно, упростить процесс расшифровки сообщения

Опубликовано: 2016-07-07Изменено: 2021-03-23
CVSS 2.0СРЕДНЯЯ 4.3
CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:P/A:N
Ссылки
BDU:2015-09980
MEDIUM5.0

Уязвимость системы управления базами данных MySQL, позволяющая удаленному нарушителю вызвать отказ в обслуживании

Опубликовано: 2015-05-06Изменено: 2021-03-23
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P
Ссылки
CVE-2014-3569
MEDIUM5.0

The ssl23_get_client_hello function in s23_srvr.c in OpenSSL 0.9.8zc, 1.0.0o, and 1.0.1j does not properly handle attempts to use unsupported protocols, which allows remote attackers to cause a denial of service (NULL pointer dereference and daemon crash) via an unexpected handshake, as demonstrated by an SSLv3 handshake to a no-ssl3 application with certain error handling. NOTE: this issue became relevant after the CVE-2014-3568 fix.

Опубликовано: 2014-12-24Изменено: 2025-04-12
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P
Ссылки
CVE-2014-3570
MEDIUM5.0

The BN_sqr implementation in OpenSSL before 0.9.8zd, 1.0.0 before 1.0.0p, and 1.0.1 before 1.0.1k does not properly calculate the square of a BIGNUM value, which might make it easier for remote attackers to defeat cryptographic protection mechanisms via unspecified vectors, related to crypto/bn/asm/mips.pl, crypto/bn/asm/x86_64-gcc.c, and crypto/bn/bn_asm.c.

Опубликовано: 2015-01-09Изменено: 2025-04-12
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N
Ссылки
CVE-2014-3571
MEDIUM5.0

OpenSSL before 0.9.8zd, 1.0.0 before 1.0.0p, and 1.0.1 before 1.0.1k allows remote attackers to cause a denial of service (NULL pointer dereference and application crash) via a crafted DTLS message that is processed with a different read operation for the handshake header than for the handshake body, related to the dtls1_get_record function in d1_pkt.c and the ssl3_read_n function in s3_pkt.c.

Опубликовано: 2015-01-09Изменено: 2025-04-12
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P
Ссылки
CVE-2014-3572
MEDIUM5.0

The ssl3_get_key_exchange function in s3_clnt.c in OpenSSL before 0.9.8zd, 1.0.0 before 1.0.0p, and 1.0.1 before 1.0.1k allows remote SSL servers to conduct ECDHE-to-ECDH downgrade attacks and trigger a loss of forward secrecy by omitting the ServerKeyExchange message.

Опубликовано: 2015-01-09Изменено: 2025-04-12
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:P/A:N
Ссылки
CVE-2014-8275
MEDIUM5.0

OpenSSL before 0.9.8zd, 1.0.0 before 1.0.0p, and 1.0.1 before 1.0.1k does not enforce certain constraints on certificate data, which allows remote attackers to defeat a fingerprint-based certificate-blacklist protection mechanism by including crafted data within a certificate's unsigned portion, related to crypto/asn1/a_verify.c, crypto/dsa/dsa_asn1.c, crypto/ecdsa/ecs_vrf.c, and crypto/x509/x_all.c.

Опубликовано: 2015-01-09Изменено: 2025-04-12
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:P/A:N
Ссылки
CVE-2015-0204
MEDIUM4.3

The ssl3_get_key_exchange function in s3_clnt.c in OpenSSL before 0.9.8zd, 1.0.0 before 1.0.0p, and 1.0.1 before 1.0.1k allows remote SSL servers to conduct RSA-to-EXPORT_RSA downgrade attacks and facilitate brute-force decryption by offering a weak ephemeral RSA key in a noncompliant role, related to the "FREAK" issue. NOTE: the scope of this CVE is only client code based on OpenSSL, not EXPORT_RSA issues associated with servers or other TLS implementations.

Опубликовано: 2015-01-09Изменено: 2025-04-12
CVSS 2.0СРЕДНЯЯ 4.3
CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:P/A:N
Ссылки
CVE-2015-0205
MEDIUM5.0

The ssl3_get_cert_verify function in s3_srvr.c in OpenSSL 1.0.0 before 1.0.0p and 1.0.1 before 1.0.1k accepts client authentication with a Diffie-Hellman (DH) certificate without requiring a CertificateVerify message, which allows remote attackers to obtain access without knowledge of a private key via crafted TLS Handshake Protocol traffic to a server that recognizes a Certification Authority with DH support.

Опубликовано: 2015-01-09Изменено: 2025-04-12
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:P/A:N
Ссылки
CVE-2015-0206
MEDIUM5.0

Memory leak in the dtls1_buffer_record function in d1_pkt.c in OpenSSL 1.0.0 before 1.0.0p and 1.0.1 before 1.0.1k allows remote attackers to cause a denial of service (memory consumption) by sending many duplicate records for the next epoch, leading to failure of replay detection.

Опубликовано: 2015-01-09Изменено: 2025-04-12
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P
Ссылки

Закрытые ошибки (2)