Информация по безопасности / 2016 / Информация о безопасности -- DSA-3436-1 openssl

Рекомендация Debian по безопасности

DSA-3436-1 openssl -- обновление безопасности

Дата сообщения:

08.01.2016

Затронутые пакеты:

openssl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-7575.

Более подробная информация:

Картикеян Бхаргаван и Гаэтан Лёрен из INRIA обнаружили уязвимость в протоколе TLS 1.2, которая позволяет использовать хэширующую функцию MD5 для подписывания пакетов обмена ключами со стороны сервера и аутентификации клиента во время TLS-рукопожатия. В атаках по методу человек-в-середине эта уязвимость может использоваться для коллизионной атаки с целью имитации сервера TLS или аутентифицированного клиента TLS.

Дополнительная информация может быть найдена по адресу https://www.mitls.org/pages/attacks/SLOTH

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.0.1e-2+deb7u19.

В стабильном (jessie), тестируемом (stretch) и нестабильном (sid) выпусках эта проблема уже была исправлена в версии 1.0.1f-1.

Рекомендуется обновить пакеты openssl.