Bug 7672 - [UPDATE REQUEST] openssl 1.0.2k
: [UPDATE REQUEST] openssl 1.0.2k
Status: VERIFIED FIXED
Product: Desktop Bugs
Classification: ROSA Desktop
Component: Main Packages
: Fresh
: All Linux
: Normal normal
: ---
Assigned To: ROSA Linux Bugs
: ROSA Linux Bugs
:
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2017-01-28 17:09 MSK by Алзим
Modified: 2017-02-14 12:32 MSK (History)
3 users (show)

See Also:
RPM Package:
ISO-related:
Bad POT generating:
Upstream:
vladimir.potapov: qa_verified+
andrey.bondrov: published+


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Алзим 2017-01-28 17:09:11 MSK
Доступны корректирующие выпуски криптографической библиотеки OpenSSL 1.0.2k и 1.1.0d, в которых устранены 4 уязвимости, трём из которых присвоен умеренный уровень опасности, а одной - низкий.

CVE-2017-3731 - позволяют инициировать крах серверного или клиентского SSL/TLS-приложения на 32-разрядных системах (чтение из области за пределами буфера) при приёме повреждённого пакета. В ветке OpenSSL 1.1.0 проблема проявляется при использовании алгоритмов CHACHA20/POLY1305, а в Openssl 1.0.2 - RC4-MD5;
CVE-2017-3730 - может привести к краху клиентского приложения (разыменование нулевого указателя) при передаче сервером некорректных параметров при обмене ключами по протоколам DHE или ECDHE;
CVE-2017-3732 - BN_mod_exp может вернуть некорректный результат на платформе x86_64, атака отнесена к категории труднореализуемых и маловероятных.
Comment 1 Алзим 2017-01-28 17:10:24 MSK
Updated to 1.0.2k

https://abf.io/build_lists/2798978
https://abf.io/build_lists/2798979
Comment 2 Vladimir Potapov 2017-02-13 18:44:32 MSK
The update is sent to expanded testing
***************************************
Comment 3 Vladimir Potapov 2017-02-13 18:56:16 MSK
openssl-1.0.2k-1
https://abf.io/build_lists/2798978
https://abf.io/build_lists/2798979
************************* Advisory **************************
Updated to 1.0.2k + GOST support
*************************************************************
QA Verified