Aviso de seguridad de Debian
DSA-4018-1 openssl -- actualización de seguridad
- Fecha del informe:
- 4 de nov de 2017
- Paquetes afectados:
- openssl
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2017-3735, CVE-2017-3736.
- Información adicional:
-
Se han descubierto múltiples vulnerabilidades en OpenSSL, un juego de herramientas para la capa de puertos seguros («Secure Sockets Layer»). El proyecto «Vulnerabilidades y revelaciones comunes» («Common Vulnerabilities and Exposures») identifica los problemas siguientes:
- CVE-2017-3735
Se descubrió que OpenSSL es propenso a una lectura de memoria fuera de límites (exceso de un byte) al analizar sintácticamente una extensión IPAddressFamily mal construida en un certificado X.509.
El aviso del proyecto original contiene más detalles: https://www.openssl.org/news/secadv/20170828.txt
- CVE-2017-3736
Se descubrió que OpenSSL contiene un error en la propagación del acarreo en el procedimiento Montgomery de elevación al cuadrado de x86_64.
El aviso del proyecto original contiene más detalles: https://www.openssl.org/news/secadv/20171102.txt
Para la distribución «antigua estable» (jessie), CVE-2017-3735 se ha corregido en la versión 1.0.1t-1+deb8u7. CVE-2017-3736 no afecta a la distribución «antigua estable».
Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 1.1.0f-3+deb9u1.
Para la distribución «inestable» (sid), estos problemas se han corregido en la versión 1.1.0g-1.
Le recomendamos que actualice los paquetes de openssl.
- CVE-2017-3735