Debians sikkerhedsbulletin

DSA-3673-1 openssl -- sikkerhedsopdatering

Rapporteret den:
22. sep 2016
Berørte pakker:
openssl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182, CVE-2016-2183, CVE-2016-6302, CVE-2016-6303, CVE-2016-6304, CVE-2016-6306.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i OpenSSL:

  • CVE-2016-2177

    Guido Vranken opdagede at OpenSSL anvendte ikke-defineret pointeraritmetik. Yderligere oplysninger finder man i https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/

  • CVE-2016-2178

    Cesar Pereida, Billy Brumley og Yuval Yarom opdagede en timinglækage i DSA-koden.

  • CVE-2016-2179 / CVE-2016-2181

    Quan Luo og OCAP-auditholdet opdagede lammelsesangrebssårbarheder (denial of service) i DTLS.

  • CVE-2016-2180 / CVE-2016-2182 / CVE-2016-6303

    Shi Lei opdagede en hukommelseslæsning uden for grænserne i TS_OBJ_print_bio() og en skrivning uden for grænserne i BN_bn2dec() og MDC2_Update().

  • CVE-2016-2183

    DES-baserede-ciphersuiter degraderes fra HIGH-gruppen til MEDIUM, som en dæmning af SWEET32-angrebet.

  • CVE-2016-6302

    Shi Lei opdagede at anvendelsen af SHA512 i TLS-sessiontickets var sårbar over for lammelsesangreb.

  • CVE-2016-6304

    Shi Lei opdagede at alt for store OCSP-statusforespørgsler kunne medføre lammelsesangreb gennem hukommelsesudmattelse.

  • CVE-2016-6306

    Shi Lei opdagede at manglende validering af meddelelseslængden når der fortolkes certifikater, potentielt kunne medføre lammelsesangreb.

I den stabile distribution (jessie), er disse problemer rettet i version 1.0.1t-1+deb8u4.

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine openssl-pakker.