Debians sikkerhedsbulletin

DSA-2162-1 openssl -- ugyldig hukommelsestilgang

Rapporteret den:
14. feb 2011
Berørte pakker:
openssl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-0014.
Yderligere oplysninger:

Neel Mehta opdagede at en ukorrekt formateret ClientHello-handshakemeddelelse kunne få OpenSSL til at fortolke forbi slutningen af meddelelsen. Dermed var det muligt for en angriber at få en applikation, som anvender OpenSSL, til at gå ned ved at udløse tilgang til ugyldig hukommelse. Desuden kunne nogle applikationer være sårbare over for blotlæggelse af indholdet af en fortolket OCSP-nonce-extension.

Pakkerne i den gamle stabile distribution (lenny) er ikke påvirket af dette problem.

I den stabile distribution (squeeze), er dette problem rettet i version 0.9.8o-4squeeze1.

I distributionen testing (wheezy), er dette problem rettet i version 0.9.8o-5.

I den ustabile distribution (sid), er dette problem rettet i version 0.9.8o-5.

Vi anbefaler at du opgraderer dine openssl-pakker.