|
|
|
|
|
|
Еще не зарегистрировались?
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
Разработка, производство и поставка программно-аппаратных комплексов, а также оказание услуг в области защиты информации
Тел.: +7 (495) 664-22-40
E-mail: info@altell.ru
|
|
|
Новость
16 июня 2014
Доступно обновление ПО ALTELL NEO, устраняющее уязвимости в криптобиблиотеках
С 16 июня 2014 года для всех версий системного ПО межсетевых экранов ALTELL NEO (v.1.0, 1.5.0 и 1.5.1) доступно обновление, устраняющее критические уязвимости в используемых криптобиблиотеках. Из-за серьезности угрозы обновление рекомендуется установить всем клиентам.
Изменения в версии 1.0 0e:0e:0e:
- Исправлена ошибка библиотеки GnuTLS (CVE-2014-3466). Ошибка связана с недостаточной проверкой сессионных идентификаторов клиентом TLS во время процедуры согласования соединения и может привести к отказу в обслуживании или к исполнению произвольного кода. В NEO библиотеку GnuTLS использует только клиент обновлений, при этом эксплуатация уязвимости затруднена тем, что при падении клиента он не будет запущен вновь до перезагрузки или ручного перезапуска;
- Исправлены ошибки библиотеки libtasn1 (CVE-2014-3467, CVE-2014-3468, CVE-2014-3469). Ошибки связаны с некорректным разбором формата ASN.1 и могут приводить к отказу в обслуживании. В NEO библиотека используется в составе GnuTLS;
- Исправлены ошибки библиотеки OpenSSL (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470). Наиболее критична уязвимость CVE-2014-0224, которая может привести к использованию слабых ключей для защиты соединения и атаке посредника. Уязвимости CVE-2014-0195 и CVE-2014-0221 актуальны только для протокола DTLS, который используется для защиты протокола CAPWAP. Уязвимость CVE-2014-3470 не должна влиять на штатное использование NEO;
- Исправлено использование системной библиотекой C предсказуемых идентификаторов в запросах протокола DNS.
Изменения в версии 1.5.0.16:
- Исправлена ошибка библиотеки GnuTLS (CVE-2014-3466). Ошибка связана с недостаточной проверкой сессионных идентификаторов клиентом TLS во время процедуры согласования соединения и может привести к отказу в обслуживании или к исполнению произвольного кода. В NEO библиотеку GnuTLS использует только клиент обновлений, при этом эксплуатация уязвимости затруднена тем, что при падении клиента он не будет запущен вновь до перезагрузки или ручного перезапуска;
- Исправлены ошибки библиотеки libtasn1 (CVE-2014-3467, CVE-2014-3468, CVE-2014-3469). Ошибки связаны с некорректным разбором формата ASN.1 и могут приводить к отказу в обслуживании. В NEO библиотека используется в составе GnuTLS;
- Исправлены ошибки библиотеки OpenSSL (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470). Наиболее критична уязвимость CVE-2014-0224, которая может привести к использованию слабых ключей для защиты соединения и атаке посредника. Уязвимости CVE-2014-0195 и CVE-2014-0221 актуальны только для протокола DTLS, который используется для защиты протокола CAPWAP. Уязвимость CVE-2014-3470 не должна влиять на штатное использование NEO;
- Исправлено использование системной библиотекой C предсказуемых идентификаторов в запросах протокола DNS;
- Решена проблема обработки больших списков псевдонимов доменных имён локальной базы узлов в системной библиотеке C. Проблема может приводить к отказу в обслуживании при попытке разрешения доменного имени любым приложением. Важно отметить, что проблема проявляется только при использовании локальной базы узлов, данные от удалённого сервера DNS обрабатываются корректно;
- Устранены возможные проблемы соединения с сервером AD для аутентификации NTLM при нахождении сервера AD за рамками непосредственно подключенных к NEO сетей.
Изменения в версии 1.5.1.8:
- Исправлена ошибка библиотеки GnuTLS (CVE-2014-3466). Ошибка связана с недостаточной проверкой сессионных идентификаторов клиентом TLS во время процедуры согласования соединения и может привести к отказу в обслуживании или к исполнению произвольного кода. В NEO библиотеку GnuTLS использует только клиент обновлений, при этом эксплуатация уязвимости затруднена тем, что при падении клиента он не будет запущен вновь до перезагрузки или ручного перезапуска;
- Исправлены ошибки библиотеки libtasn1 (CVE-2014-3467, CVE-2014-3468, CVE-2014-3469). Ошибки связаны с некорректным разбором формата ASN.1 и могут приводить к отказу в обслуживании. В NEO библиотека используется в составе GnuTLS;
- Исправлены ошибки библиотеки OpenSSL (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470). Наиболее критична уязвимость CVE-2014-0224, которая может привести к использованию слабых ключей для защиты соединения и атаке посредника. Уязвимости CVE-2014-0195 и CVE-2014-0221 актуальны только для протокола DTLS, который используется для защиты протокола CAPWAP. Уязвимость CVE-2014-3470 не должна влиять на штатное использование NEO;
- Исправлено использование системной библиотекой C предсказуемых идентификаторов в запросах протокола DNS;
- Исправлена проблема обработки больших списков псевдонимов доменных имён локальной базы узлов в системной библиотеке C. Проблема может приводить к отказу в обслуживании при попытке разрешения доменного имени любым приложением. Важно отметить, что проблема проявляется только при использовании локальной базы узлов, данные от удалённого сервера DNS обрабатываются корректно;
- Устранены возможные проблемы соединения с сервером AD для аутентификации NTLM при нахождении сервера AD за рамками непосредственно подключенных к NEO сетей;
- Исправлена ошибка загрузки конфигурации при использовании в фильтрах групп адресов МЭ;
- Исправлена ошибка загрузки конфигурации при специфичной настройке ретранслятора DNS на получение адресов серверов DNS по протоколу DHCP;
- Исправлено несколько несущественных проблем, связанных с проверкой согласованности и корректности входных данных при настройке, а также нюансами работы эксплуатационных команд;
- Добавлена поддержка IPMI для модели NEO 340.
Обновления для отгруженных устройств доступны как автоматически, так и через службу технической поддержки (support@altell.ru).
Все новые устройства будут отгружаться с версией 1.5.1.8. Дальнейшие обновления версий 1.0 и 1.5.0 не планируются (но возможны, если поступит заявка клиента или будут обнаружены новые критические ошибки).
|
|
| |