Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3673-1 openssl

Säkerhetsbulletin från Debian

DSA-3673-1 openssl -- säkerhetsuppdatering

Rapporterat den:

2016-09-22

Berörda paket:

openssl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182, CVE-2016-2183, CVE-2016-6302, CVE-2016-6303, CVE-2016-6304, CVE-2016-6306.

Ytterligare information:

Flera sårbarheter har upptäckts i OpenSSL:

• CVE-2016-2177

  Guido Vranken upptäckte att OpenSSL använder odefinierad pekararitmetik. Ytterligare information kan hittas på https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/

• CVE-2016-2178

  Cesar Pereida, Billy Brumley och Yuval Yarom upptäckte timingläckage i DSA-koden.

• CVE-2016-2179 / CVE-2016-2181

  Quan Luo och OCAP-granskningsgruppen upptäckte överbelastningssårbarheter i DTLS.

• CVE-2016-2180 / CVE-2016-2182 / CVE-2016-6303

  Shi Lei upptäckte en läsning utanför gränserna i TS_OBJ_print_bio() och en skrivning utanför gränserna i BN_bn2dec() och MDC2_Update().

• CVE-2016-2183

  DES-baserade krypteringssviter degrederas från HIGH till MEDIUM som en lindring för SWEET32-angreppet.

• CVE-2016-6302

  Shi Lei upptäckte att användning av SHA512 i TLS-sessionstickets är sårbart för överbelastning.

• CVE-2016-6304

  Shi Lei upptäckte att överdrivet stora OSCP-statusförfrågningar kan resultera i överbelastning via minnesförbrukning.

• CVE-2016-6306

  Shi Lei upptäckte att saknad meddelande längdvalidering vid tolkning av certifikat potentiellt kan leda till överbelastning.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.0.1t-1+deb8u4.

För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era openssl-paket.