Säkerhetsbulletin från Debian

DSA-881-1 openssl096 -- kryptografisk svaghet

Rapporterat den:
2005-11-04
Berörda paket:
openssl096
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2005-2969.
Ytterligare information:

Yutaka Oiwa upptäckte en sårbarhet i Open Secure Socket Layer-biblioteket (OpenSSL) vilken kunde göra det möjligt för en angripare att utföra aktiv bakåtstegning av protokollversion vilket kunde leda till att det svagare SSL 2.0-protokollet användes, även om båda slutpunkterna stöder SSL 3.0 eller TLS 1.0.

Följande tabell beskriver vilka versioner för vilka distributioner som felet har rättats i.

  Gamla stabila (Woody) stabila (Sarge) Instabila (Sid)
openssl 0.9.6c-2.woody.8 0.9.7e-3sarge1 0.9.8-3
openssl094 0.9.4-6.woody.4
openssl095 0.9.5a-6.woody.6
openssl096 0.9.6m-1sarge1
openssl097 0.9.7g-5

Vi rekommenderar att ni uppgraderar era libssl-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:
http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m-1sarge1.dsc
http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m-1sarge1.diff.gz
http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.