Bug 9769

Summary: [UPDATE REQUEST 2016.1] openssl 1.0.2r
Product: [ROSA-based products] ROSA Fresh Reporter: Алзим <alzim>
Component: Preinstalled software in the ISOAssignee: ROSA Linux Bugs <bugs>
Status: VERIFIED FIXED QA Contact: ROSA Linux Bugs <bugs>
Severity: normal    
Priority: Normal CC: v.potapov
Version: AllFlags: v.potapov: qa_verified+
v.potapov: published+
Target Milestone: ---   
Hardware: All   
OS: Linux   
Whiteboard:
Platform: --- ROSA Vulnerability identifier:
RPM Package: ISO-related:
Bad POT generating: Upstream:

Description Алзим 2019-02-26 22:18:45 MSK 
Доступны корректирующие выпуски криптографической библиотеки OpenSSL 1.0.2r и 1.1.1b. В выпуске 1.0.2r устранена уязвимость (CVE-2019-1559), которая связана с некорректной обработкой нулевых байтов в добавочном заполнении (padding oracle).

При возникновении ошибки и двойном вызове фунеции SSL_shutdown() в приложении уязвимость позволяет разделять ситуации в случае получения некорректного добавочного заполнения и некорректного MAC. Манипулируя информацией о корректности блоков добавочного заполнения атакующий может путём перебора определить содержимое шифротекста. Уязвимость отнесена к категории проблем среднего уровня опасности так как для атаки требуется применение нетипичных наборов шифров ("non-stitched") и необходимо, чтобы приложение вызывало функцию SSL_shutdown() дважды (один раз для отправки уведомления close_notify, а второй для приёма).
Comment 1 Алзим 2019-02-26 22:20:33 MSK 
Updated to 1.0.2r
https://abf.io/build_lists/2963510
https://abf.io/build_lists/2963511
Comment 2 Vladimir Potapov 2019-02-27 12:36:40 MSK 
The update is sent to expanded testing
***************************************
Comment 3 Vladimir Potapov 2019-03-13 19:17:28 MSK 
openssl-1.0.2r-1
https://abf.io/build_lists/2963510
https://abf.io/build_lists/2963511
*********************** Advisory *********************
Updated to 1.0.2r
******************************************************
QA Verified