Debians sikkerhedsbulletin

DSA-4065-1 openssl1.0 -- sikkerhedsopdatering

Rapporteret den:
17. dec 2017
Berørte pakker:
openssl1.0
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2017-3737, CVE-2017-3738.
Yderligere oplysninger:

Flere sårbarheder er opdaget i OpenSSL, et Secure Sockets Layer-værktøjssæt. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2017-3737

    David Benjamin fra Google rapporterede at OpenSSL ikke på korrekt vis hpnterede SSL_read() og SSL_write(), efter at have været blevet kaldt i en fejltilstand, medførende at data blev overført uden at blive dekrypteret eller krypteret direkte fra SSL-/TLS-recordlaget.

  • CVE-2017-3738

    Man opdagede at OpenSSL indeholdt en overløbsfejl i proceduren til AVX2 Montgomery-multiplikation, som anvende i eksponentialisering med 1024 bit-moduli.

Flere oplysninger finder man i opstrøms bulletin: https://www.openssl.org/news/secadv/20171207.txt

I den stabile distribution (stretch), er disse problemer rettet i version 1.0.2l-2+deb9u2.

Vi anbefaler at du opgraderer dine openssl1.0-pakker.

For detaljeret sikkerhedsstatus vedrørende openssl1.0, se dens sikkerhedssporingsside: https://security-tracker.debian.org/tracker/openssl1.0