Säkerhetsbulletin från Debian

DSA-2309-1 openssl -- komprometterad certifikatutfärdare

Rapporterat den:
2011-09-13
Berörda paket:
openssl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2011-1945.
Ytterligare information:

Flera bedrägliga SSL-certifikat har upptäckts i det fria utfärdade av DigiNotar Certificate Authority, erhållna genom ett säkerhetshål i nämnda företag. Efter ytterligare uppdateringar om denna incident har det beslutats att inte några av DigiNotars signeringscertifikat kan anses som pålitliga. Debian, liväl som andra mjukvarudistributörer och tillverkare har beslutat att inte lita på några av DigiNotars CAs. I denna uppdatering görs detta i biblioteket crypto (en komponent i verktygslådan OpenSSL) genom att markera sådana certifikat som återkallade. Alla applikationer som använder nämnda komponent bör numer avfärda certifikat som signerats av DigiNotar. Individuella applikationer kan tillåta användare att åsidosätta valideringsmisslyckandet. Dock så rekommenderas det starkt att inte göra undantag och det bör verifieras noggrant.

Utöver detta har en sårbarhet upptäckts i ECDHE_ECDS-chiffret där timingangrepp gjorde det lättare att avgöra privata nycklar. Common Vulnerabilities and Exposures identifierar det som CVE-2011-1945.

För den gamla stabila utgåvan (Lenny) har dessa problem rättats i version 0.9.8g-15+lenny12.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 0.9.8o-4squeeze2.

För uttestningsutgåvan (Wheezy) kommer dessa problem att rättas inom kort.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.0.0e-1.

Vi rekommenderar att ni uppgraderar era openssl-paket.