Debians sikkerhedsbulletin

DSA-3053-1 openssl -- sikkerhedsopdatering

Rapporteret den:
16. okt 2014
Berørte pakker:
openssl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-3513, CVE-2014-3566, CVE-2014-3567, CVE-2014-3568.
Yderligere oplysninger:

Flere sårbarheder er fundet i OpenSSL, biblioteket og værktøjssættet Secure Sockets Layer.

  • CVE-2014-3513

    En hukommelseslækagefejl blev fundet i den måde OpenSSL fortolkede udvidelsesdata i DTLS Secure Real-time Transport Protocol (SRTP). En fjernangriber kunne sende adskillige særligt fremstillede handshakemeddelelser, for at udnytte al tilgængelig hukommelse i en SSL-/TLS- eller DTLS-server.

  • CVE-2014-3566 ("POODLE")

    En fejl blev fundet i den måde SSL 3.0 håndterede paddingbytes, når der blev dekrypteret meddelelser krypteret ved hjælp af block ciphers i cipher block chaining-tilstand (CBC). Fejlen gjorde det muligt for en manden i midten-angriber (MITM) at dekryptere en udvalgt byte fra en ciphertekst på så lidt som 256 forsøg, hvis vedkommende var i stand til at tvinge offerapplikationen til gentagne gange at sende de samme data via nyligt oprettede SSL 3.0-forbindelser.

    Med denne opdatering tilføjes understøttelse af Fallback SCSV, for at afhjælpe problemet.

  • CVE-2014-3567

    En hukommelseslækagefejl blev fundet i den måde OpenSSL håndterede fejlede integritetskontroller af sessionsticket. En fjernangriber kunne udnytte al tilgængelig hukommelse i en SSL-/TLS- eller DTLS-server, ved at sende et stort antal udgyldige sessiontickets til serveren.

  • CVE-2014-3568

    Når OpenSSL er opsat med no-ssl3 som opbygningsvalgmulighed, kunne servere acceptere og gennemføre en SSL 3.0-handshake, og klienter kunne blive opsat til at sende dem.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.0.1e-2+deb7u13.

I den ustabile distribution (sid), er disse problemer rettet i version 1.0.1j-1.

Vi anbefaler at du opgraderer dine openssl-pakker.