Debian-Sicherheitsankündigung

DSA-881-1 openssl096 -- Kryptografische Schwachstelle

Datum des Berichts:
04. Nov 2005
Betroffene Pakete:
openssl096
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2005-2969.
Weitere Informationen:

Yutaka Oiwa entdeckte eine Verwundbarkeit in der »Open Secure Socket Layer«-Bibliothek (OpenSSL), die einem Angreifer ermöglicht, Angriffe mittels aktiver Zurückstufung der Protokollversion durchzuführen. Dies kann zur Verwendung des schwächeren Protokolls SSL 2.0 führen, selbst wenn beide Gegenstellen SSL 3.0 oder TLS 1.0 unterstützen.

Die folgende Matrix listet auf, in welcher Version und Distribution das Problem korrigiert wurde.

  Oldstable (Woody) Stable (Sarge) Unstable (Sid)
openssl 0.9.6c-2.woody.8 0.9.7e-3sarge1 0.9.8-3
openssl094 0.9.4-6.woody.4 n/a n/a
openssl095 0.9.5a-6.woody.6 n/a n/a
openssl096 n/a 0.9.6m-1sarge1 n/a
openssl097 n/a n/a 0.9.7g-5

Wir empfehlen Ihnen, Ihre libssl-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m-1sarge1.dsc
http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m-1sarge1.diff.gz
http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.