Duas vulnerabilidades foram descobertas no openssl, uma implementação do protocolo SSL, usando a ferramenta de teste Codenomicon TLS. Mais informações podem ser encontradas no seguinte Alerta de Vulnerabilidade NISCC e neste alerta do OpenSSL. O projeto Common Vulnerabilities and Exposures identificou as seguintes vulnerabilidades:
Ponteiro nulo na função do_change_cipher_spec(). Um atacante remoto pode realizar um tratamento cuidadoso da negociação SSL/TLS contra um servidor que usa a biblioteca OpenSSL de uma forma que o OpenSSL trave. Dependendo da aplicação isto pode levar a uma negação de serviço.
Uma falha nas versões anteriores ao OpenSSL 0.9.6 que pode levar a um ataque de negação de serviço. (loop infinito).
Na atual distribuição estável (woody) este problema foi corrigido na versão 0.9.6c-2.woody.6 do openssl, na versão 0.9.4-6.woody.4 do openssl094 e na versão 0.9.5a-6.woody.5 do openssl095.
Na distribuição instável (sid) este problema será corrigido em breve.
Nós recomendamos que você atualize seu pacote openssl.
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.