Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-3773-1 openssl

Debians sikkerhedsbulletin

DSA-3773-1 openssl -- sikkerhedsopdatering

Rapporteret den:

27. jan 2017

Berørte pakker:

openssl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2016-7056, CVE-2016-8610, CVE-2017-3731.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i OpenSSL:

• CVE-2016-7056

  Et lokalt timingangreb blev opdaget mod ECDSA P-256.

• CVE-2016-8610

  Man opdagede at der ikke blev håndhævet nogen begrænsninger på alertpakker under et SSL-handshake.

• CVE-2017-3731

  Robert Swiecki opdagede at RC4-MD5-cipher'en, når der køres på 32 bit-systemer, kunne tvinges til en læsning uden for grænserne, førende til lammelsesangreb (denial of service).

I den stabile distribution (jessie), er disse problemer rettet i version 1.0.1t-1+deb8u6.

I den ustabile distribution (sid), er disse problemer rettet i version 1.1.0d-1 af kildekodepakken openssl og i version 1.0.2k-1 af kildekodepakken openssl1.0.

Vi anbefaler at du opgraderer dine openssl-pakker.