Säkerhetsbulletin från Debian

DSA-2896-1 openssl -- säkerhetsuppdatering

Rapporterat den:
2014-04-07
Berörda paket:
openssl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 743883.
I Mitres CVE-förteckning: CVE-2014-0160.
Ytterligare information:

En sårbarhet har upptäckts i OpenSSLs stöd för TLS/DTLS Heartbeat-utökningen. Upp till 64KB minne från antingen klient eller server kan återskapas av en angripare. Denna sårbarhet kan möjligen tillåta en angripare att äventyra den privata nyckeln och annan känslig data i minnet.

Alla användare uppmanas att uppdatera sina openssl-paket (speciellt libssl1.0.0) och starta om sina program så snart som möjligt.

Enligt informationen som för tillfället finns tillgänglig, skall privata nycklar betraktas som i fara och bör återgenereras så fort som möjligt. Mer information kommer att ges vid ett senare tillfälle.

Den gamla stabila utgåvan (Squeeze) påverkas inte av denna sårbarhet.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.0.1e-2+deb7u5.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 1.0.1g-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.0.1g-1.

Vi rekommenderar att ni uppgraderar era openssl-paket.