Рекомендация Debian по безопасности

DSA-2309-1 openssl -- скомпрометированный авторитет

Дата сообщения:
13.09.2011
Затронутые пакеты:
openssl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-1945.
Более подробная информация:

В хождении обнаружено несколько поддельных SSL-сертификатов, выпущенных авторитетом DigiNotar, которые были получены путём компрометации указанной компании. После получения дальнейших сведений об этом инциденте было решено, что сертификатам DigiNotar более доверять нельзя. Проект Debian как и другие поставщики ПО принял решение об аннулировании доверия ко всем сертификатам DigiNotar. В данном обновлении это сделано в библиотеке crypto (компоненте набора инструментов OpenSSL) путём пометки указанных сертификатов как отозванных. Любое приложение, использующее указанный компонент, теперь должно отклонять сертификаты, подписанные DigiNotar. Отдельные приложения могут позволить пользователям обойти ошибку проверки сертификата. Тем не менее, настоятельно рекомендуется не делать исключений и тщательно производить проверку сертификатов.

Кроме того, была обнаружена уязвимость в шифре ECDHE_ECDS, из-за которой атаки по тайминагам облегчают определение закрытых ключей. Проект Common Vulnerabilities and Exposures определяет эту уязвимость как CVE-2011-1945.

В предыдущем стабильном выпуске (lenny) эти проблемы были исправлены в версии 0.9.8g-15+lenny12.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 0.9.8o-4squeeze2.

В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.0.0e-1.

Рекомендуется обновить пакеты openssl.