Odkryto dwa naruszenia bezpieczeństwa w openssl, implementacji protokołu SSL, używając narzędzia testującego Codenomicon TLS Test Tool. Więcej informacji można znaleźć w Poradzie Bezpieczeństwa NISCC oraz w poradzie OpenSSL . Projekt Common Vulnerabilities and Exposures rozpoznał następujące problemy:
Null-pointer assignment w funkcji do_change_cipher_spec(). Atakujący z zewnątrz może wykonać specjalnie spreparowany SSL/TLS handshake i w ten sposób spowodować zawieszenie się OpenSSL. W zależności od aplikacji może to doprowadzić do odmowy usługi.
Błąd w starszej wersji OpenSSL 0.9.6 który może doprowadzić do ataku typu odmowa usługi (nieskończona pętla).
W dystrybucji stabilnej (woody) powyższe problemy zostały wyeliminowane w openssl wersji 0.9.6c-2.woody.6, openssl094 wersji 0.9.4-6.woody.4 oraz openssl095 wersji 0.9.5a-6.woody.5.
W dystrybucji niestabilnej (sid) powyższe problemy będą niedługo naprawione.
Zalecamy aktualizację pakietu openssl.
Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.