Debian セキュリティ勧告

DSA-2998-1 openssl -- セキュリティ更新

報告日時:
2014-08-07
影響を受けるパッケージ:
openssl
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-3505, CVE-2014-3506, CVE-2014-3507, CVE-2014-3508, CVE-2014-3509, CVE-2014-3510, CVE-2014-3511, CVE-2014-3512, CVE-2014-5139.
詳細:

複数の脆弱性が Secure Sockets Layer ツールキット OpenSSL に確認されています。サービス拒否 (アプリケーションのクラッシュや大量メモリ消費) や情報漏洩、プロトコルのダウングレードにつながる可能性があります。 さらに、SRPを明示的に構成するアプリケーションにのみ影響のあるバッファオーバーラン (CVE-2014-3512) も修正されています。

脆弱性の詳細な説明が www.openssl.org/news/secadv_20140806.txt にあります。

openssl パッケージだけでなく libssl1.0.0 パッケージもアップグレードすることが重要です。

openssl にリンしているアプリケーションは全て再起動する必要があります。 debian-goodies パッケージに収録されているcheckrestart ツールを使って影響のあるプログラムを検出できます。 あるいはシステムを再起動してください。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.0.1e-2+deb7u12 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.0.1i-1 で修正されています。

直ちに openssl パッケージをアップグレードすることを勧めます。