ALT-PU-2016-1443-1 — openssl10

BDU:2020-02960

HIGH7.5

Уязвимость функции EVP_EncodeUpdate (crypto/evp/encode.c) библиотеки OpenSSL, связанная с ошибкой при обработке числа, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2020-06-26

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2016-2105

BDU:2020-02961

HIGH7.5

Уязвимость функции EVP_EncodeUpdate (crypto/evp/evp_enc.c) библиотеки OpenSSL, связанная с ошибкой при обработке числа, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2020-06-26

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2016-2106

BDU:2020-02962

MEDIUM5.9

Уязвимость функции проверки заполнения реализации AES-NI библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным

Опубликовано: 2020-06-26

CVSS 3.xСРЕДНЯЯ 5.9

CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 2.0СРЕДНЯЯ 5.4

CVSS:2.0/AV:N/AC:H/Au:N/C:C/I:N/A:N

Ссылки

CVE-2016-2106

BDU:2020-02963

HIGH7.5

Уязвимость функции asn1_d2i_read_bio (crypto/asn1/a_d2i_fp.c) библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2020-06-26

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2016-2109

BDU:2020-02964

HIGH8.2

Уязвимость функции X509_NAME_oneline (crypto/x509/x509_obj.c) библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным или вызвать отказ в обслуживании

Опубликовано: 2020-06-26

CVSS 3.xВЫСОКАЯ 8.2

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H

CVSS 2.0ВЫСОКАЯ 8.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:C

Ссылки

CVE-2016-2176

CVE-2016-2105

HIGH7.5

Integer overflow in the EVP_EncodeUpdate function in crypto/evp/encode.c in OpenSSL before 1.0.1t and 1.0.2 before 1.0.2h allows remote attackers to cause a denial of service (heap memory corruption) via a large amount of binary data.

Опубликовано: 2016-05-05Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

CVE-2016-2106

HIGH7.5

Integer overflow in the EVP_EncryptUpdate function in crypto/evp/evp_enc.c in OpenSSL before 1.0.1t and 1.0.2 before 1.0.2h allows remote attackers to cause a denial of service (heap memory corruption) via a large amount of data.

Опубликовано: 2016-05-05Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

CVE-2016-2107

MEDIUM5.9

The AES-NI implementation in OpenSSL before 1.0.1t and 1.0.2 before 1.0.2h does not consider memory allocation during a certain padding check, which allows remote attackers to obtain sensitive cleartext information via a padding-oracle attack against an AES CBC session. NOTE: this vulnerability exists because of an incorrect fix for CVE-2013-0169.

Опубликовано: 2016-05-05Изменено: 2025-04-12

CVSS 2.0НИЗКАЯ 2.6

CVSS:2.0/AV:N/AC:H/Au:N/C:P/I:N/A:N

CVSS 3.xСРЕДНЯЯ 5.9

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Ссылки

CVE-2016-2109

HIGH7.5

The asn1_d2i_read_bio function in crypto/asn1/a_d2i_fp.c in the ASN.1 BIO implementation in OpenSSL before 1.0.1t and 1.0.2 before 1.0.2h allows remote attackers to cause a denial of service (memory consumption) via a short invalid encoding.

Опубликовано: 2016-05-05Изменено: 2025-04-12

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

CVE-2016-2176

HIGH8.2

The X509_NAME_oneline function in crypto/x509/x509_obj.c in OpenSSL before 1.0.1t and 1.0.2 before 1.0.2h allows remote attackers to obtain sensitive information from process stack memory or cause a denial of service (buffer over-read) via crafted EBCDIC ASN.1 data.

Опубликовано: 2016-05-05Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:P

CVSS 3.xВЫСОКАЯ 8.2

CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H

Ссылки

Обновление пакета openssl10 в ветке t7

Закрытые проблемы (10)

Уязвимость функции EVP_EncodeUpdate (crypto/evp/encode.c) библиотеки OpenSSL, связанная с ошибкой при обработке числа, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость функции EVP_EncodeUpdate (crypto/evp/evp_enc.c) библиотеки OpenSSL, связанная с ошибкой при обработке числа, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость функции проверки заполнения реализации AES-NI библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным

Уязвимость функции asn1_d2i_read_bio (crypto/asn1/a_d2i_fp.c) библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

Integer overflow in the EVP_EncodeUpdate function in crypto/evp/encode.c in OpenSSL before 1.0.1t and 1.0.2 before 1.0.2h allows remote attackers to cause a denial of service (heap memory corruption) via a large amount of binary data.

Integer overflow in the EVP_EncryptUpdate function in crypto/evp/evp_enc.c in OpenSSL before 1.0.1t and 1.0.2 before 1.0.2h allows remote attackers to cause a denial of service (heap memory corruption) via a large amount of data.

The asn1_d2i_read_bio function in crypto/asn1/a_d2i_fp.c in the ASN.1 BIO implementation in OpenSSL before 1.0.1t and 1.0.2 before 1.0.2h allows remote attackers to cause a denial of service (memory consumption) via a short invalid encoding.

The X509_NAME_oneline function in crypto/x509/x509_obj.c in OpenSSL before 1.0.1t and 1.0.2 before 1.0.2h allows remote attackers to obtain sensitive information from process stack memory or cause a denial of service (buffer over-read) via crafted EBCDIC ASN.1 data.