Säkerhetsbulletin från Debian

DSA-2908-1 openssl -- säkerhetsuppdatering

Rapporterat den:

2014-04-17

Berörda paket:

openssl

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 742923.
I Mitres CVE-förteckning: CVE-2010-5298, CVE-2014-0076.

Ytterligare information:

Flera sårbarheter har upptäckts i OpenSSL. Följande projektidentifierare från projektet Common Vulnerabilities and Exposures identifierar dem:

CVE-2010-5298
En läsbuffer kan bli frias även när den fortfarande innehåller data som används senare, vilket leder till en användning efter frigörning. Givet en kapplöpningseffekt i ett flertrådat program kan detta tillåta en angripare att injicera data från en anslutning till en annan eller orsaka en överbelastning.
CVE-2014-0076
ECDSA nonces kan återskapas genom sidokanalsangreppet Yarom/Benger FLUSH+RELOAD cache.

Ett tredje problem, utan CVE-identifierare är den saknade detektionen av critical-flaggan för användning av TSA-utökad nyckel i vissa fall.

Utöver detta kontrollerar denna uppdatering för flera tjänster som kan behövas återstartas efter uppgraderingar av libssl, korrigerar detektionen av apache2 och postgresql, och lägger till stöd för debconf-konfigurationen 'libraries/restart-without-asking'. Detta tillåter tjänster att återstartas vid uppgraderingar utan att ge en förfrågan.

Den gamla stabila utgåvan (Squeeze) påverkas inte av CVE-2010-5298 och den kan uppdateras vid ett senare tillfälle för att ta hand om de återstående sårbarheterna.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.0.1e-2+deb7u7.

För uttestningsutgåvan (Jessie), these problems will be fixed soon.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.0.1g-3.

Vi rekommenderar att ni uppgraderar era openssl-paket.