Debians sikkerhedsbulletin
DSA-2833-1 openssl -- flere sårbarheder
- Rapporteret den:
- 1. jan 2014
- Berørte pakker:
- openssl
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 732754, Fejl 732710.
I Mitres CVE-ordbog: CVE-2013-6449, CVE-2013-6450. - Yderligere oplysninger:
-
Flere sikkerhedsproblemer er rettet i OpenSSL: TLS 1.2-understøttelsen var sårbar over for lammelsesangreb (denial of service) og genoverførsel af DTLS-meddelelser blev rettet. Desuden deaktiverer opdateringen den usikre Dual_EC_DRBG-algoritme (der heller ikke blev benyttet, se http://marc.info/?l=openssl-announce&m=138747119822324&w=2 for yderligere oplysninger) og anvender ikke længere RdRand-funktionen, der er tilgængelig i nogle Intel-CPU'er, som den eneste kilde til entropi, med mindre der specifikt bedes om det.
I den stabile distribution (wheezy), er disse problemer rettet i version 1.0.1e-2+deb7u1.
I den ustabile distribution (sid), er disse problemer rettet i version 1.0.1e-5.
Vi anbefaler at du opgraderer dine openssl-pakker.