Доступно обновление ПО ALTELL NEO, устраняющее уязвимости в криптобиблиотеках

С 16 июня 2014 года для всех версий системного ПО межсетевых экранов ALTELL NEO (v.1.0, 1.5.0 и 1.5.1) доступно обновление, устраняющее критические уязвимости в используемых криптобиблиотеках. Из-за серьезности угрозы обновление рекомендуется установить всем клиентам.

ALTELL NEO

ALTELL NEO

Изменения в версии 1.5.1.8:

  • Исправлена ошибка библиотеки GnuTLS (CVE-2014-3466). Ошибка связана с недостаточной проверкой сессионных идентификаторов клиентом TLS во время процедуры согласования соединения и может привести к отказу в обслуживании или к исполнению произвольного кода. В NEO библиотеку GnuTLS использует только клиент обновлений, при этом эксплуатация уязвимости затруднена тем, что при падении клиента он не будет запущен вновь до перезагрузки или ручного перезапуска;
  • Исправлены ошибки библиотеки libtasn1 (CVE-2014-3467, CVE-2014-3468, CVE-2014-3469). Ошибки связаны с некорректным разбором формата ASN.1 и могут приводить к отказу в обслуживании. В NEO библиотека используется в составе GnuTLS;
  • Исправлены ошибки библиотеки OpenSSL (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470). Наиболее критична уязвимость CVE-2014-0224, которая может привести к использованию слабых ключей для защиты соединения и атаке посредника. Уязвимости CVE-2014-0195 и CVE-2014-0221 актуальны только для протокола DTLS, который используется для защиты протокола CAPWAP. Уязвимость CVE-2014-3470 не должна влиять на штатное использование NEO;
  • Исправлено использование системной библиотекой C предсказуемых идентификаторов в запросах протокола DNS;
  • Исправлена проблема обработки больших списков псевдонимов доменных имён локальной базы узлов в системной библиотеке C. Проблема может приводить к отказу в обслуживании при попытке разрешения доменного имени любым приложением. Важно отметить, что проблема проявляется только при использовании локальной базы узлов, данные от удалённого сервера DNS обрабатываются корректно;
  • Устранены возможные проблемы соединения с сервером AD для аутентификации NTLM при нахождении сервера AD за рамками непосредственно подключенных к NEO сетей;
  • Исправлена ошибка загрузки конфигурации при использовании в фильтрах групп адресов МЭ;
  • Исправлена ошибка загрузки конфигурации при специфичной настройке ретранслятора DNS на получение адресов серверов DNS по протоколу DHCP;
  • Исправлено несколько несущественных проблем, связанных с проверкой согласованности и корректности входных данных при настройке, а также нюансами работы эксплуатационных команд;
  • Добавлена поддержка IPMI для модели NEO 340.

Изменения в версии 1.5.0.16:

  • Исправлена ошибка библиотеки GnuTLS (CVE-2014-3466). Ошибка связана с недостаточной проверкой сессионных идентификаторов клиентом TLS во время процедуры согласования соединения и может привести к отказу в обслуживании или к исполнению произвольного кода. В NEO библиотеку GnuTLS использует только клиент обновлений, при этом эксплуатация уязвимости затруднена тем, что при падении клиента он не будет запущен вновь до перезагрузки или ручного перезапуска;
  • Исправлены ошибки библиотеки libtasn1 (CVE-2014-3467, CVE-2014-3468, CVE-2014-3469). Ошибки связаны с некорректным разбором формата ASN.1 и могут приводить к отказу в обслуживании. В NEO библиотека используется в составе GnuTLS;
  • Исправлены ошибки библиотеки OpenSSL (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470). Наиболее критична уязвимость CVE-2014-0224, которая может привести к использованию слабых ключей для защиты соединения и атаке посредника. Уязвимости CVE-2014-0195 и CVE-2014-0221 актуальны только для протокола DTLS, который используется для защиты протокола CAPWAP. Уязвимость CVE-2014-3470 не должна влиять на штатное использование NEO;
  • Исправлено использование системной библиотекой C предсказуемых идентификаторов в запросах протокола DNS;
  • Решена проблема обработки больших списков псевдонимов доменных имён локальной базы узлов в системной библиотеке C. Проблема может приводить к отказу в обслуживании при попытке разрешения доменного имени любым приложением. Важно отметить, что проблема проявляется только при использовании локальной базы узлов, данные от удалённого сервера DNS обрабатываются корректно;
  • Устранены возможные проблемы соединения с сервером AD для аутентификации NTLM при нахождении сервера AD за рамками непосредственно подключенных к NEO сетей.

Изменения в версии 1.0 0e:0e:0e:

  • Исправлена ошибка библиотеки GnuTLS (CVE-2014-3466). Ошибка связана с недостаточной проверкой сессионных идентификаторов клиентом TLS во время процедуры согласования соединения и может привести к отказу в обслуживании или к исполнению произвольного кода. В NEO библиотеку GnuTLS использует только клиент обновлений, при этом эксплуатация уязвимости затруднена тем, что при падении клиента он не будет запущен вновь до перезагрузки или ручного перезапуска;
  • Исправлены ошибки библиотеки libtasn1 (CVE-2014-3467, CVE-2014-3468, CVE-2014-3469). Ошибки связаны с некорректным разбором формата ASN.1 и могут приводить к отказу в обслуживании. В NEO библиотека используется в составе GnuTLS;
  • Исправлены ошибки библиотеки OpenSSL (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470). Наиболее критична уязвимость CVE-2014-0224, которая может привести к использованию слабых ключей для защиты соединения и атаке посредника. Уязвимости CVE-2014-0195 и CVE-2014-0221 актуальны только для протокола DTLS, который используется для защиты протокола CAPWAP. Уязвимость CVE-2014-3470 не должна влиять на штатное использование NEO;
  • Исправлено использование системной библиотекой C предсказуемых идентификаторов в запросах протокола DNS.

Обновления для отгруженных устройств доступны как автоматически, так и через службу технической поддержки.

Все новые устройства будут отгружаться с версией 1.5.1.8. Дальнейшие обновления версий 1.0 и 1.5.0 не планируются (но возможны, если поступит заявка клиента или будут обнаружены новые критические ошибки).