Debians sikkerhedsbulletin

DSA-2908-1 openssl -- sikkerhedsopdatering

Rapporteret den:

17. apr 2014

Berørte pakker:

openssl

Sårbar:

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 742923.
I Mitres CVE-ordbog: CVE-2010-5298, CVE-2014-0076.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i OpenSSL. Projektet Common Vulnerabilities and Exposures har registreret følgende id'er:

CVE-2010-5298
En læsningsbuffer kunne blive frigivet, selv når den stadig indeholdt data, som anvendes senere, førende til anvendelse efter frigivelse. Med en kapløbstilstand i en flertrådet applikation, kunne det give en angriber mulighed for at indsprøjte data fra en forbindelse ind i en anden eller forårsage et lammelsesangreb (denial of service).
CVE-2014-0076
ECDSA-nonces kunne opsnappes gennem sidekanalcacheangrebet Yarom/Benger FLUSH+RELOAD.

Et tredje problem, ikke tildelt en CVE-id, er manglende genkendelse af flaget critical for anvendelse af udvidet TSA-nøgle under visse omstændigheder.

Desuden kontrollerer denne opdatering flere tjenster, som måske har behov for at blive genstartet efter opgradering af libssl, genkendlese af apache2 og postgresql rettes, og der tilføjes understøttelse af debconf-opsætningen libraries/restart-without-asking. Dermed kan tjenster blive genstarten ved opgradering, uden at brugeren bliver spurgt.

Den gamle stabile distribution (squeeze) er ikke påvirket af CVE-2010-5298 og den bliver måske opdateret på et senere tidspunkt for at løse tilbageværende sårbarheder.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.0.1e-2+deb7u7.

I distributionen testing (jessie), these problems will be fixed soon.

I den ustabile distribution (sid), er disse problemer rettet i version 1.0.1g-3.

Vi anbefaler at du opgraderer dine openssl-pakker.