Säkerhetsbulletin från Debian

DSA-3053-1 openssl -- säkerhetsuppdatering

Rapporterat den:
2014-10-16
Berörda paket:
openssl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-3513, CVE-2014-3566, CVE-2014-3567, CVE-2014-3568.
Ytterligare information:

Flera sårbarheter har upptäckts i OpenSSL, biblioteket och verktygsuppsättningen Secure Sockets Layer.

  • CVE-2014-3513

    Ett minnesläckage har upptäckts i sättet som OpenSSL tolkar data från insticksmodulen DTLS Secure Real-time Transport Protocol (SRTP). En fjärrangripare kunde skicka flera speciellt skapade handskakningsmeddelanden för att förbruka allt tillgängligt minne i en SSL/TLS- eller DTLS-server.

  • CVE-2014-3566 ("POODLE")

    En brist har upptäckts i sättet som SSL 3.0 hanterar utfyllnadsbytes vid dekryptering av meddelanden som har krypterats av blockskiffer i cipher block chaining (CBS)-läge. Denna brist tillåter en man-in-the-middle-angripare (MITM) att dekryptera en vald byte av en skiffrad text på så lite som 256 försök om dom har möjlighet att tvinga en offerapplikation att upprepat skicka samma data över på nytt skapade SSL 3.0-anslutningar.

    Denna uppdatering lägger till stöd för Fallback SCSV för att lindra detta problem.

  • CVE-2014-3567

    En minnesläckage har upptäckts i sättet som en OpenSSL hanterar integritetskontroller för misslyckade sessionskvitton. En fjärrangripare kunde förbruka allt tillgängligt minne i en SSL/TLS- eller DTLS-server genom att skicka en stor mängd ogiltiga sessionskvitton till denna server.

  • CVE-2014-3568

    När OpenSSL konfigureras med "no-ssl3" som byggalternativ, kunde servrar acceptera och avsluta en SSL 3.0-handskakning, och klienter kunde konfigureras att skicka dessa.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.0.1e-2+deb7u13.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.0.1j-1.

Vi rekommenderar att ni uppgraderar era openssl-paket.