Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2833-1 openssl

Säkerhetsbulletin från Debian

DSA-2833-1 openssl -- flera sårbarheter

Rapporterat den:

2014-01-01

Berörda paket:

openssl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 732754, Fel 732710.
I Mitres CVE-förteckning: CVE-2013-6449, CVE-2013-6450.

Ytterligare information:

Flera säkerhetsproblem har rättats i OpenSSL: Stödet för TLS 1.2 var sårbart för överbelastning och återöverföring av DTLS-meddelanden har rättats. Utöver detta så inaktiverar denna uppdatering den osäkra Dual_EC_DRBG-algoritmen (som ändå inte användes, se http://marc.info/?l=openssl-announce&m=138747119822324&w=2 för mer information) och den använder inte längre RdRand-funktionen som är tillgänglig på vissa Intel-CPUer som den enda källan för entropi om inte annat anges.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.0.1e-2+deb7u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.0.1e-5.

Vi rekommenderar att ni uppgraderar era openssl-paket.