Debians sikkerhedsbulletin

DSA-2309-1 openssl -- kompromitteret certifikatmyndighed

Rapporteret den:
13. sep 2011
Berørte pakker:
openssl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-1945.
Yderligere oplysninger:

Flere forfalskede SSL-certifikater er opdaget som værende i brug, udgivet af DigiNotar Certificate Authority, og skaffet via et sikkerhedsindbrud i den pågældende virksomhed. Efter flere uddybende beskrivelser af hændelsen, er man kommet frem til at der ikke længere kan stoles på nogen af DigiNotars signeringscertifikater. Debian har, i lighed med andre softwaredistibutører, som en sikkerhedsforanstaltning besluttet ikke at stole på nogen af DigiNotars CA'er. I denne opdatering er det sket i cryptbiblioteket (en komponent i OpenSSL-toolkittet) ved at markere sådanne certifikater som tilbagetrukne. Alle applikationer, som anvender den pågældende komponent, skulle nu afvise certifikater signeret af DigiNotar. Individuelle appliaktioner kan gøre det muligt for brugerne, at ignorere valideringsfejlen. Det frarådes dog kraftigt at gøre undtagelser, som i givet fald skal undersøges nøje.

Desuden er der fundet en sårbarhed i ECDHE_ECDS-cipher'en, hvor timede angreb gjorde det lettere at finde frem til private nøgler. Projektet Common Vulnerabilities and Exposures har registreret det som CVE-2011-1945.

I den gamle stabile distribution (lenny), er disse problemer rettet i version 0.9.8g-15+lenny12.

I den stabile distribution (squeeze), er disse problemer rettet i version 0.9.8o-4squeeze2.

I distributionen testing (wheezy), vil disse problemer snart blive rettet.

I den ustabile distribution (sid), er disse problemer rettet i version 1.0.0e-1.

Vi anbefaler at du opgraderer dine openssl-pakker.