Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2950-1 openssl

Säkerhetsbulletin från Debian

DSA-2950-1 openssl -- säkerhetsuppdatering

Rapporterat den:

2014-06-05

Berörda paket:

openssl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-0195, CVE-2014-0221, CVE-2014-0224, CVE-2014-3470.

Ytterligare information:

Flera sårbarheter har upptäckts i OpenSSL:

• CVE-2014-0195

  Jueri Aedla upptäckte att ett buffertspill i behandlingen av DTLS-fragment kunde leda till exekvering av illasinnad kod eller en överbelastning.

• CVE-2014-0221

  Imre Rad upptäckte att behandlingen av DTLS hello-paket är mottaglig för överbelastning.

• CVE-2014-0224

  KIKUCHI Masashi upptäckte att försiktigt skapade handskakningar kan påtvinga användandet av svaga nycklar, vilket resulterar i potentiella man-in-the-middle-angrepp.

• CVE-2014-3470

  Felix Groebert och Ivan Fratric upptäckte att implementationen av anonyma ECDH-skifferuppsättningar är sårbart för överbelastning.

Ytterligare information kan hittas på http://www.openssl.org/news/secadv_20140605.txt

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.0.1e-2+deb7u10. Alla applikationer som länkar mot openssl behöver startas om. Du kan använda verktyget checkrestart från paketet debian-goodies för att detektera påverkade program eller starta om ditt system. Det finns även en kommande säkerhetsuppdatering för Linuxkärnan senare idag (CVE-2014-3153), så du kommer att behöva starta om hur som helst. Perfekt timing, eller hur?

För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era openssl-paket.