Säkerhetsbulletin från Debian

DSA-3413-1 openssl -- säkerhetsuppdatering

Rapporterat den:
2015-12-04
Berörda paket:
openssl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-3194, CVE-2015-3195, CVE-2015-3196.
Ytterligare information:

Flera sårbarheter har upptäckts i OpenSSL, ett verktyg för Secure Sockets Layer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2015-3194

    Loic Jonas Etienne från Qnective AG upptäckte att signaturverifikationsrutinerna kraschar med en NULL-pekardereferens om de presenteras med en ASN.1-signatur som använder RSA PSS-algoritmen och en saknad maskgenereringsfunktionsparameter. En fjärrangripare kan exploatera denna brist för att krascha alla certifikatverifikationsoperationer och starta ett överbelastningsangrepp.

  • CVE-2015-3195

    Adam Langley från Google/BoringSSL upptäckte att OpenSSL kommer att läcka minne när den presenteras med en felaktigt formatterad X509_ATTRIBUTE-struktur.

  • CVE-2015-3196

    En kapplöpningseffektsbrist i hanteringen av PSK-identitethintar har upptäckts, som potentiellt kan leda till en dubbel frigörning av identitetshintdata.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.0.1e-2+deb7u18.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.0.1k-3+deb8u2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.0.2e-1 or earlier.

Vi rekommenderar att ni uppgraderar era openssl-paket.