Säkerhetsbulletin från Debian
DSA-3413-1 openssl -- säkerhetsuppdatering
- Rapporterat den:
- 2015-12-04
- Berörda paket:
- openssl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-3194, CVE-2015-3195, CVE-2015-3196.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i OpenSSL, ett verktyg för Secure Sockets Layer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2015-3194
Loic Jonas Etienne från Qnective AG upptäckte att signaturverifikationsrutinerna kraschar med en NULL-pekardereferens om de presenteras med en ASN.1-signatur som använder RSA PSS-algoritmen och en saknad maskgenereringsfunktionsparameter. En fjärrangripare kan exploatera denna brist för att krascha alla certifikatverifikationsoperationer och starta ett överbelastningsangrepp.
- CVE-2015-3195
Adam Langley från Google/BoringSSL upptäckte att OpenSSL kommer att läcka minne när den presenteras med en felaktigt formatterad X509_ATTRIBUTE-struktur.
- CVE-2015-3196
En kapplöpningseffektsbrist i hanteringen av PSK-identitethintar har upptäckts, som potentiellt kan leda till en dubbel frigörning av identitetshintdata.
För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.0.1e-2+deb7u18.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.0.1k-3+deb8u2.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.0.2e-1 or earlier.
Vi rekommenderar att ni uppgraderar era openssl-paket.
- CVE-2015-3194