INFSA-2024:9333: Устранение уязвимостей openssl и openssl-fips-provider

Информация о бюллетене

Идентификатор: INFSA-2024:9333

Тип: устранение уязвимостей

Дата публикации: 2024-12-13 11:46:34 UTC

Информация о пакете

OpenSSL — это проект с открытым исходным кодом, состоящий из криптографической библиотеки и набора инструментов SSL (Secure Sockets Layer )/TLS (Transport Layer Security).

Описание уязвимостей

  • CVE-2024-2511

    Уязвимость криптографической библиотеки OpenSSL связана с использованием нестандартной опции SSL_OP_NO_TICKET, при которой кэш сеанса продолжает неограниченно расти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.

  • CVE-2024-4603

    Уязвимость функций EVP_PKEY_param_check() и EVP_PKEY_public_check() криптографической библиотеки OpenSSL связана с неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.

  • CVE-2024-4741

    Уязвимость функции SSL_free_buffers() криптографической библиотеки OpenSSL связана с использованием памяти после освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании.

  • CVE-2024-5535

    Уязвимость OpenSSL вызвана ошибкой перечитывания буфера в API-функции SSL_select_next_proto при вызове с пустым буфером поддерживаемых клиентских протоколов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызывать отказ в обслуживании или отправить содержимое памяти другому устройству, отправляя специально созданный запрос.

Уровень опасности

CVE Оценка CVSS 2.0 Оценка CVSS 3.x Оценка CVSS 4.0
NIST — CVE-2024-2511
БДУ — BDU:2024-04109
нет информации 3.7 нет информации
NIST — CVE-2024-4603
БДУ — BDU:2024-04423
нет информации 5.3 нет информации
NIST — CVE-2024-4741
БДУ — BDU:2024-05176
нет информации 5.6 нет информации
NIST — CVE-2024-5535
нет информации 5.9 нет информации
Критичный, высокий, средний, низкий

Обновлённые пакеты

loader icon Подготовка к загрузке...
Архитектура: Скачать