Debians sikkerhedsbulletin
DSA-3413-1 openssl -- sikkerhedsopdatering
- Rapporteret den:
- 4. dec 2015
- Berørte pakker:
- openssl
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-3194, CVE-2015-3195, CVE-2015-3196.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i OpenSSL, et Secure Sockets Layer-værktøjssæt. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2015-3194
Loic Jonas Etienne fra Qnective AG opdagede at rutiner til verifikation af signaturer, gik ned med en NULL-pointerdereference, hvis de blev præsenteret for en ASN.1-signatur, som anvender RSA PSS-algoritmen og ikke har funktionsparameteret til maskgenerering. En fjernangriber kunne udnytte fejlen til at få ethver certifikatverifikationshandling til at gå ned, og iværksætte et lammelsesangreb (denial of service).
- CVE-2015-3195
Adam Langley fra Google/BoringSSL opdagede at OpenSSL lækkede hukommelse når den blev præsenteret for en misdannet X509_ATTRIBUTE-struktur.
- CVE-2015-3196
En kapløbstilstandsfejl i håndteringen af PSK-
identify hints
blev opdaget; den kunne potentielt føre til en dobbelt frigivelse afidentify hint
-data.
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.0.1e-2+deb7u18.
I den stabile distribution (jessie), er disse problemer rettet i version 1.0.1k-3+deb8u2.
I den ustabile distribution (sid), er disse problemer rettet i version 1.0.2e-1 or earlier.
Vi anbefaler at du opgraderer dine openssl-pakker.
- CVE-2015-3194