Debians sikkerhedsbulletin

DSA-3413-1 openssl -- sikkerhedsopdatering

Rapporteret den:
4. dec 2015
Berørte pakker:
openssl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-3194, CVE-2015-3195, CVE-2015-3196.
Yderligere oplysninger:

Flere sårbarheder er opdaget i OpenSSL, et Secure Sockets Layer-værktøjssæt. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2015-3194

    Loic Jonas Etienne fra Qnective AG opdagede at rutiner til verifikation af signaturer, gik ned med en NULL-pointerdereference, hvis de blev præsenteret for en ASN.1-signatur, som anvender RSA PSS-algoritmen og ikke har funktionsparameteret til maskgenerering. En fjernangriber kunne udnytte fejlen til at få ethver certifikatverifikationshandling til at gå ned, og iværksætte et lammelsesangreb (denial of service).

  • CVE-2015-3195

    Adam Langley fra Google/BoringSSL opdagede at OpenSSL lækkede hukommelse når den blev præsenteret for en misdannet X509_ATTRIBUTE-struktur.

  • CVE-2015-3196

    En kapløbstilstandsfejl i håndteringen af PSK-identify hints blev opdaget; den kunne potentielt føre til en dobbelt frigivelse af identify hint-data.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.0.1e-2+deb7u18.

I den stabile distribution (jessie), er disse problemer rettet i version 1.0.1k-3+deb8u2.

I den ustabile distribution (sid), er disse problemer rettet i version 1.0.2e-1 or earlier.

Vi anbefaler at du opgraderer dine openssl-pakker.