研究者たちにより、Secure Socket Layer (SSL) のライブラリと 暗号化ツールの実装である OpenSSL に、二つの問題が発見されました。 このライブラリとリンクしているアプリケーションは、通常攻撃により サーバの秘密鍵の漏曳や、暗号化されたセッションを他の方法で 復号化可能になるなどの脆弱性があります。 The Common Vulnerabilities and Exposures (CVE) プロジェクトは、 以下の脆弱性を把握しています。
現安定版 (stable)(woody) では、これらの問題はバージョン 0.9.6c-2.woody.3 で修正されています。
旧安定版 (potato) では、これらの問題はバージョン version 0.9.6c-0.potato.6 で修正されています。
不安定版 (unstable)(sid) では、これらの問題は、openssl のバージョン 0.9.7b-1 および openssl096 のバージョン 0.9.6j-1 で修正されています。
openssl パッケージをアップグレードし、OpenSSL を用いるアプリケーション を再起動することをお勧めします。
残念ながら、RSA ブラインディングはスレッドに対応しておらず、 スレッドと OpenSSL を両方使用する stunnel などのプログラムで 問題を起こします。 しかし、この件に関して提案されている修正はバイナリインターフェイス (ABI) を変更するものであるため、OpenSSL に動的にリンクしているプログラム は動作しなくなります。 これは、私たちにはどうしようもないジレンマです。
したがって、スレッド未対応のセキュリティアップデートで良いのかどうかを 判断する必要があります。 それで良ければ、アップグレード後に明らかに動かなくなったアプリケーション のみを再コンパイルしてください。 また、スレッド対応が必要ならば、この勧告の最後にある追加の ソースパッケージを入手し、スレッド対応の OpenSSL を作成し、 同時に OpenSSL ライブラリを使用するアプリケーション (apache-ssl、mod_ssl、ssh など) をすべて再コンパイルしてください。
しかし、スレッドを使用して OpenSSL ライブラリにリンクしている パッケージはごくわずかしかないので、ほとんどのユーザはこのパッケージを 問題なく利用することが可能と考えられます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。