Debians sikkerhedsbulletin

DSA-2896-1 openssl -- sikkerhedsopdatering

Rapporteret den:
7. apr 2014
Berørte pakker:
openssl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 743883.
I Mitres CVE-ordbog: CVE-2014-0160.
Yderligere oplysninger:

En sårbarhed er opdaget i OpenSSL's understøttelse af TLS/DTLS Heartbeat-udvidelsen. En angriber kunne få adgang til 64KB hukommelse fra enten klient eller server. Sårbarheden kunne gøre det muligt for en angriber at kompromittere den private nøgle og andre følsomme data i hukommelsen.

Alle brugere bør opgradere deres openssl-pakker (særligt libssl1.0.0) samt genstarte applikationer så hurtigt som muligt.

Ifølge de i øjeblikket tilgængelige oplysninger, bør private nøgler betragtes som kompromitterede og bør genfremstilles så hurtigt som muligt. Senere vil flere oplysninger blive offentliggjort.

Den gamle stabile distribution (squeeze) er ikke påvirket af denne sårbarhed.

I den stabile distribution (wheezy), er dette problem rettet i version 1.0.1e-2+deb7u5.

I distributionen testing (jessie), er dette problem rettet i version 1.0.1g-1.

I den ustabile distribution (sid), er dette problem rettet i version 1.0.1g-1.

Vi anbefaler at du opgraderer dine openssl-pakker.