Рекомендация Debian по безопасности

DSA-2896-1 openssl -- обновление безопасности

Дата сообщения:
07.04.2014
Затронутые пакеты:
openssl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 743883.
В каталоге Mitre CVE: CVE-2014-0160.
Более подробная информация:

В расширении для поддержки TLS/DTLS Heartbeat в OpenSSL была обнаружена уязвимость. До 64КБ памяти клиента или сервера может быть перехвачено и восстановлено атакующим. Данная уязвимость может дать возможность атакующему скомпрометировать частный ключ и другие чувствительные данные, находящиеся в памяти.

Всем пользователям настоятельно рекомендуется обновить пакеты openssl (особенно libssl1.0.0) и как можно скорее перезапустить соответствующие приложения.

Согласно доступной в настоящий момент информации, частные ключи следует считать скомпрометированными и создать их заново как можно скорее. Дополнительная информация будет сообщена позже.

Предыдущий стабильный выпуске (squeeze) не подвержен данной уязвимости.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.0.1e-2+deb7u5.

В тестируемом выпуске (jessie) эта проблема была исправлена в версии 1.0.1g-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.0.1g-1.

Рекомендуется обновить пакеты openssl.