Debian-Sicherheitsankündigung
DSA-875-1 openssl094 -- Kryptografische Schwachstelle
- Datum des Berichts:
- 27. Okt 2005
- Betroffene Pakete:
- openssl094
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2005-2969.
- Weitere Informationen:
-
Yutaka Oiwa entdeckte eine Verwundbarkeit in der »Open Secure Socket Layer«-Bibliothek (OpenSSL), die einem Angreifer ermöglicht, Angriffe mittels aktiver Zurückstufung der Protokollversion durchzuführen. Dies kann zur Verwendung des schwächeren Protokolls SSL 2.0 führen, selbst wenn beide Gegenstellen SSL 3.0 oder TLS 1.0 unterstützen.
Die folgende Matrix listet auf, in welcher Version und Distribution das Problem korrigiert wurde.
Oldstable (Woody) Stable (Sarge) Unstable (Sid) openssl 0.9.6c-2.woody.8 0.9.7e-3sarge1 0.9.8-3 openssl094 0.9.4-6.woody.4 n/a n/a openssl095 0.9.5a-6.woody.6 n/a n/a openssl096 n/a 0.9.6m-1sarge1 n/a openssl097 n/a n/a 0.9.7g-5 Wir empfehlen Ihnen, Ihre libssl-Pakete zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4-6.woody.4.dsc
- http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4-6.woody.4.diff.gz
- http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4-6.woody.4.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/o/openssl094/libssl09_0.9.4-6.woody.4_alpha.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/o/openssl094/libssl09_0.9.4-6.woody.4_i386.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/o/openssl094/libssl09_0.9.4-6.woody.4_powerpc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.