Бюллетень безопасности FreeBSD-SA-16:35.openssl (неофициальный перевод)

Первоисточник: https://www.freebsd.org/security/advisories/FreeBSD-SA-16:35.openssl.asc
 
Тема: Уязвимость OpenSSL к удаленной DoS атаке.
Категория: contrib
Модуль: openssl
Анонсировано: 02.11.2016
Влияет на: FreeBSD 9.x и FreeBSD 10.x.
Исправлено в: 2016-11-02 07:09:31 UTC (stable/10, 10.3-STABLE)
2016-11-02 07:23:36 UTC (releng/10.3, 10.3-RELEASE-p12)
2016-11-02 07:24:14 UTC (releng/10.2, 10.2-RELEASE-p25)
2016-11-02 07:24:14 UTC (releng/10.1, 10.1-RELEASE-p42)
2016-11-02 07:09:31 UTC (stable/9, 9.3-STABLE)
2016-11-02 07:24:34 UTC (releng/9.3, 9.3-RELEASE-p50)
CVE ID: CVE-2016-8610
 
Для получения общей информации о рекомендациях по безопасности FreeBSD, посетите https://security.FreeBSD.org/.
 
I. Общая информация
 
FreeBSD включает в себя программное обеспечение проекта OpenSSL. Проект OpenSSL это результат совместных усилий по разработке надежного и полнофункционального Open Source инструментария для реализации Secure Sockets Layer (SSL v2/v3) и Transport Layer Security (TLS v1) протоколов, в том числе в виде полноценных криптографических библиотек общего назначения.
 
Предупредительный протокол в SSL это способ оповещения о проблемах в SSL/TLS сессии.
 
II. Описание проблемы
 
Из-за неправильной обработки предупредительных пакетов, OpenSSL будет потреблять чрезмерное количество процессорного времени на обработку неопределенных предупредительных сообщений.
 
III. Влияние
 
Злоумышленник, который может удаленно инициировать процесс идентификации с OpenSSL сервером, используя даже очень небольшую пропускную способность, может принудить сервер к чрезмерному использованию вычислительных мощностей, что может быть использовано для DoS атаки.
 
IV. Временное решение
 
Временных решений нет.
 
V. Решение
 
Выполните одно из следующих действий:
 
1) Обновите вашу систему до поддерживаемой FreeBSD stable или release / releng версии, выпущенной датой после устранения уязвимости.
 
Перезапустите всех демонов, которые используют эту библиотеку, или перезагрузите систему.
 
2) Обновите систему бинарными патчами:
 
Системы с RELEASE версией FreeBSD на i386 и amd64 платформах могут быть обновлены утилитой freebsd-update.

# freebsd-update fetch
# freebsd-update install

 
Перезапустите всех демонов, которые используют эту библиотеку, или перезагрузите систему.
 
3) Обновите систему при помощи исходного кода патча:
 
Ниже указанные патчи будут добавлены в релизные ветки FreeBSD.
 
а) Загрузите соответствующий патч, используя ниже приведенные ссылки и проверьте PGP подпись, используя вашу утилиту PGP.

[FreeBSD 10.x]
# fetch https://security.FreeBSD.org/patches/SA-16:35/openssl-10.patch
# fetch https://security.FreeBSD.org/patches/SA-16:35/openssl-10.patch.asc
# gpg --verify openssl-10.patch.asc

[FreeBSD 9.3]
# fetch https://security.FreeBSD.org/patches/SA-16:35/openssl-9.patch
# fetch https://security.FreeBSD.org/patches/SA-16:35/openssl-9.patch.asc
# gpg --verify openssl-9.patch.asc

 
b) Примените патч, используя следующие команды под пользователем root:

# cd /usr/src
# patch < /path/to/patch

 
с) Перекомпилируйте операционную систему, используя buildworld и installworld, как описанно в https://www.FreeBSD.org/handbook/makeworld.html.
 
Перезапустите всех демонов, которые используют эту библиотеку, или перезагрузите систему.
 
VI. Сведения об исправлении
 
Список ниже содержит номера ревизий каждой из уязвимых ветвей FreeBSD.

Ветвь                                                             Ревизия
- -------------------------------------------------------------------------
stable/9/                                                         r308200
releng/9.3/                                                       r308205
stable/10/                                                        r308200
releng/10.1/                                                      r308204
releng/10.2/                                                      r308204
releng/10.3/                                                      r308203
- -------------------------------------------------------------------------

 
Чтобы узнать, какие файлы были изменены в конкретной ревизии, запустите на машине с установленным Subversion указанную ниже команду, заменив NNNNNN на номер ревизии.

# svn diff -cNNNNNN --summarize svn://svn.freebsd.org/base

 
Или посетите следующий URL, заменив NNNNNN на номер ревизии:

URL: https://svnweb.freebsd.org/base?view=revision&revision=NNNNNN

 
VII. Рекомендации
 
http://seclists.org/oss-sec/2016/q4/224
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8610
 

Новости

Оставить комментарий