Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3673-1 openssl

Debians sikkerhedsbulletin

DSA-3673-1 openssl -- sikkerhedsopdatering

Rapporteret den:

22. sep 2016

Berørte pakker:

openssl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182, CVE-2016-2183, CVE-2016-6302, CVE-2016-6303, CVE-2016-6304, CVE-2016-6306.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i OpenSSL:

• CVE-2016-2177

  Guido Vranken opdagede at OpenSSL anvendte ikke-defineret pointeraritmetik. Yderligere oplysninger finder man i https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/

• CVE-2016-2178

  Cesar Pereida, Billy Brumley og Yuval Yarom opdagede en timinglækage i DSA-koden.

• CVE-2016-2179 / CVE-2016-2181

  Quan Luo og OCAP-auditholdet opdagede lammelsesangrebssårbarheder (denial of service) i DTLS.

• CVE-2016-2180 / CVE-2016-2182 / CVE-2016-6303

  Shi Lei opdagede en hukommelseslæsning uden for grænserne i TS_OBJ_print_bio() og en skrivning uden for grænserne i BN_bn2dec() og MDC2_Update().

• CVE-2016-2183

  DES-baserede-ciphersuiter degraderes fra HIGH-gruppen til MEDIUM, som en dæmning af SWEET32-angrebet.

• CVE-2016-6302

  Shi Lei opdagede at anvendelsen af SHA512 i TLS-sessiontickets var sårbar over for lammelsesangreb.

• CVE-2016-6304

  Shi Lei opdagede at alt for store OCSP-statusforespørgsler kunne medføre lammelsesangreb gennem hukommelsesudmattelse.

• CVE-2016-6306

  Shi Lei opdagede at manglende validering af meddelelseslængden når der fortolkes certifikater, potentielt kunne medføre lammelsesangreb.

I den stabile distribution (jessie), er disse problemer rettet i version 1.0.1t-1+deb8u4.

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine openssl-pakker.