Debians sikkerhedsbulletin
DSA-3673-1 openssl -- sikkerhedsopdatering
- Rapporteret den:
- 22. sep 2016
- Berørte pakker:
- openssl
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182, CVE-2016-2183, CVE-2016-6302, CVE-2016-6303, CVE-2016-6304, CVE-2016-6306.
- Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i OpenSSL:
- CVE-2016-2177
Guido Vranken opdagede at OpenSSL anvendte ikke-defineret pointeraritmetik. Yderligere oplysninger finder man i https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/
- CVE-2016-2178
Cesar Pereida, Billy Brumley og Yuval Yarom opdagede en timinglækage i DSA-koden.
- CVE-2016-2179 /
CVE-2016-2181
Quan Luo og OCAP-auditholdet opdagede lammelsesangrebssårbarheder (denial of service) i DTLS.
- CVE-2016-2180 /
CVE-2016-2182 /
CVE-2016-6303
Shi Lei opdagede en hukommelseslæsning uden for grænserne i TS_OBJ_print_bio() og en skrivning uden for grænserne i BN_bn2dec() og MDC2_Update().
- CVE-2016-2183
DES-baserede-ciphersuiter degraderes fra HIGH-gruppen til MEDIUM, som en dæmning af SWEET32-angrebet.
- CVE-2016-6302
Shi Lei opdagede at anvendelsen af SHA512 i TLS-sessiontickets var sårbar over for lammelsesangreb.
- CVE-2016-6304
Shi Lei opdagede at alt for store OCSP-statusforespørgsler kunne medføre lammelsesangreb gennem hukommelsesudmattelse.
- CVE-2016-6306
Shi Lei opdagede at manglende validering af meddelelseslængden når der fortolkes certifikater, potentielt kunne medføre lammelsesangreb.
I den stabile distribution (jessie), er disse problemer rettet i version 1.0.1t-1+deb8u4.
I den ustabile distribution (sid), vil disse problemer snart blive rettet.
Vi anbefaler at du opgraderer dine openssl-pakker.
- CVE-2016-2177