Debians sikkerhedsbulletin

DSA-2833-1 openssl -- flere sårbarheder

Rapporteret den:
1. jan 2014
Berørte pakker:
openssl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 732754, Fejl 732710.
I Mitres CVE-ordbog: CVE-2013-6449, CVE-2013-6450.
Yderligere oplysninger:

Flere sikkerhedsproblemer er rettet i OpenSSL: TLS 1.2-understøttelsen var sårbar over for lammelsesangreb (denial of service) og genoverførsel af DTLS-meddelelser blev rettet. Desuden deaktiverer opdateringen den usikre Dual_EC_DRBG-algoritme (der heller ikke blev benyttet, se http://marc.info/?l=openssl-announce&m=138747119822324&w=2 for yderligere oplysninger) og anvender ikke længere RdRand-funktionen, der er tilgængelig i nogle Intel-CPU'er, som den eneste kilde til entropi, med mindre der specifikt bedes om det.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.0.1e-2+deb7u1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.0.1e-5.

Vi anbefaler at du opgraderer dine openssl-pakker.