Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2950-1 openssl

Debians sikkerhedsbulletin

DSA-2950-1 openssl -- sikkerhedsopdatering

Rapporteret den:

5. jun 2014

Berørte pakker:

openssl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-0195, CVE-2014-0221, CVE-2014-0224, CVE-2014-3470.

Yderligere oplysninger:

Flere sårbarheder er opdaget i OpenSSL:

• CVE-2014-0195

  Jueri Aedla opdagede at et bufferoverløb i behandlingen af DTLS-fragmenter kunne føre til udførelse af vilkårlig kode eller lammelsesangreb (denial of service).

• CVE-2014-0221

  Imre Rad opdagede at behandling af DTLS-hallopakker var sårbar over for et lammelsesangreb.

• CVE-2014-0224

  KIKUCHI Masashi opdagde at omhyggeligt fremstillede handshakes kunne gennemtvinge brugen af svage nøgler, medførende potentielle manden i midten-angreb.

• CVE-2014-3470

  Felix Groebert og Ivan Fratric opdagede at implementeringen af anonyme ECDH-ciphersuites var sårbar over for lammelsesangreb.

Yderligere oplysninger findes i http://www.openssl.org/news/secadv_20140605.txt

I den stabile distribution (wheezy), er disse problemer rettet i version 1.0.1e-2+deb7u10. Alle applikationer, som er linket til openssl, skal genstartes. Man kan anvende værktøjet checkrestart fra pakken debian-goodies, til at finde påvirkede programmer eller genstarte systemet. Senere på dagen er der også en kommende sikkerhedsopdatering til Linux-kernen (CVE-2014-3153), så der skal under alle omstændigheder genstartes. Perfekt timing, ikk'?

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine openssl-pakker.