Säkerhetsbulletin från Debian

DSA-2475-1 openssl -- heltalsunderspill

Rapporterat den:
2012-05-17
Berörda paket:
openssl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2012-2333.
Ytterligare information:

Man har upptäckt att openssl inte korrekt hanterar explicita initieringsvektorer för CBC-krypteringslägen, så som i TLS 1.1, 1.2 och DTLS. En felaktig beräkning kunde leda till ett helatalsunderspill och felaktig minnesåtkomst, vilket orsakar överbelastning (applikationskrasch).

För den stabila utgåvan (Squeeze) har detta problem rättats i version 0.9.8o-4squeeze13.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) har detta problem rättats i version 1.0.1c-1.

Vi rekommenderar att ni uppgraderar era openssl-paket.