Säkerhetsbulletin från Debian
DSA-3197-1 openssl -- säkerhetsuppdatering
- Rapporterat den:
- 2015-03-19
- Berörda paket:
- openssl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-0209, CVE-2015-0286, CVE-2015-0287, CVE-2015-0288, CVE-2015-0289, CVE-2015-0292.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i OpenSSL, ett Secure Sockets Layer-verktyg. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2015-0286
Stephen Henson upptäckte att funktionen ASN1_TYPE_cmp() kan fås att krascha, vilket resulterar i överbelastning.
- CVE-2015-0287
Emilia Kaesper upptäckte en minneskorruption vid ASN.1-tolkning.
- CVE-2015-0289
Michal Zalewski upptäckte en NULL-pekardereferens i PKCS#7-tolkningskoden, vilket resulterar i överbelastning.
- CVE-2015-0292
Man har upptäckt att bristande rengörning av indata i base64-dekodning kan resultera i minneskorruption.
- CVE-2015-0209
Man har upptäckt att en felaktigt formaterad privat EC-nyckel kan resultera i minneskorruption.
- CVE-2015-0288
Man har upptäckt att bristande rengörning av indata i funktionen X509_to_X509_REQ() kan resultera i överbelastning.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.0.1e-2+deb7u15. I denna uppdatering tas exportskiffer bort från listan på standardskiffer.
Vi rekommenderar att ni uppgraderar era openssl-paket.
- CVE-2015-0286