Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3253-1 pound

Säkerhetsbulletin från Debian

DSA-3253-1 pound -- säkerhetsuppdatering

Rapporterat den:

2015-05-07

Berörda paket:

pound

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 723731, Fel 727197, Fel 765539, Fel 765649.
I Mitres CVE-förteckning: CVE-2009-3555, CVE-2012-4929, CVE-2014-3566.

Ytterligare information:

Pound, en HTTP-reverseproxy och lastbalanserare, hade flera problem relaterat till sårbarheter i Secure Sockets Layer-protokollet (SSL).

För Debian 7 (Wheezy) lägger denna uppdatering till en saknad bit för att gör det möjligt att inaktivera klient-initierade omförhandlingar och inaktiverar detta som standard (CVE-2009-3555). TLS-komprimering är inaktiverat (CVE-2012-4929), även om detta normalt sett är inaktiverat i systembiblioteket OpenSSL. Slutligen lägger den till möjligheten att inaktivera SSLv3-protokollet (CVE-2014-3566) fullständigt via det nya konfigurationsdirektivet DisableSSLv3, även om detta inte kommer att inaktiveras som standard med denna uppdatering. Utöver detta adresseras ett icke-säkerhetskänsligt problem med omdirigeringskodning.

För Debian 8 (Jessie) har dessa problem rättats före utgåvan, med undantaget klient-initierade omförhandlingar (CVE-2009-3555). Denna uppdatering adresserar detta problem för Jessie.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 2.6-2+deb7u1.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 2.6-6+deb8u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.6-6.1.

Vi rekommenderar att ni uppgraderar era pound-paket.