Säkerhetsbulletin från Debian
DSA-3773-1 openssl -- säkerhetsuppdatering
- Rapporterat den:
- 2017-01-27
- Berörda paket:
- openssl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2016-7056, CVE-2016-8610, CVE-2017-3731.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i OpenSSL:
- CVE-2016-7056
Ett lokalt timingangrepp har upptäckts mot ECDSA P-256.
- CVE-2016-8610
Man har upptäckt att det inte infördes någon begränsning på alertpaket under en SSL-handskakning.
- CVE-2017-3731
Robert Swiecki upptäckte att RC4-MD5-chiffret kunde tvingas till en läsning utanför gränserna när den kördes på ett 32-bitarssystem vilket leder till överbelastning.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.0.1t-1+deb8u6.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.1.0d-1 av källkodspaketet openssl och i version 1.0.2k-1 av källkodspaketet openssl1.0.
Vi rekommenderar att ni uppgraderar era openssl-paket.
- CVE-2016-7056