Debians sikkerhedsbulletin

DSA-3566-1 openssl -- sikkerhedsopdatering

Rapporteret den:
3. maj 2016
Berørte pakker:
openssl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2016-2105, CVE-2016-2106, CVE-2016-2107, CVE-2016-2108, CVE-2016-2109.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i OpenSSL, et Secure Socket Layer-værktøjssæt.

  • CVE-2016-2105

    Guido Vranken opdagede at et overløb kunne opstå i funktionen EVP_EncodeUpdate(), som anvendes til Base64-encoding, hvis en angriber kunne levere en stor mængde data. Det kunne føre til heapkorruption.

  • CVE-2016-2106

    Guido Vranken opdagede at et overløb kunne opstå i funktionen EVP_EncryptUpdate(), hvis en angriber kunne levere en stor mængde data. Det kunne føre til heapkorruption.

  • CVE-2016-2107

    Juraj Somorovsky opdagede et padding-orakel i implementeringen af AES CBC-cipher, baseret på instruktionssæsttet AES-NI. Dermed kunne en angriber dekryptere TLS-trafik, krypteret med one af ciphersuiterne baseret på AES CBC.

  • CVE-2016-2108

    David Benjamin fra Google opdagede at to separate fejl i ASN.1-enkoderen, med relation til håndtering af negative nul-heltalsværdier og store universelle tags, kunne føre til en skrivning uden for grænserne.

  • CVE-2016-2109

    Brian Carpenter opdagede at når ASN.1-data læses fra en BIO ved hjælp af funktioner så som d2i_CMS_bio(), kunne en kort ugyldig enkodning medføre allokering af store mængder hukommelse, potentielt forbrugende alt for mange ressourcer eller udtømmende hukommelsen.

Yderligere oplysninger om problemerne finder man i sikkerhedsbulletinen om OpenSSL i https://www.openssl.org/news/secadv/20160503.txt

I den stabile distribution (jessie), er disse problemer rettet i version 1.0.1k-3+deb8u5.

I den ustabile distribution (sid), er disse problemer rettet i version 1.0.2h-1.

Vi anbefaler at du opgraderer dine openssl-pakker.