Aviso de seguridad de Debian

DSA-4065-1 openssl1.0 -- actualización de seguridad

Fecha del informe:
17 de dic de 2017
Paquetes afectados:
openssl1.0
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2017-3737, CVE-2017-3738.
Información adicional:

Se han descubierto múltiples vulnerabilidades en OpenSSL, un juego de herramientas para la capa de puertos seguros («Secure Sockets Layer»). El proyecto «Vulnerabilidades y revelaciones comunes» («Common Vulnerabilities and Exposures») identifica los problemas siguientes:

  • CVE-2017-3737

    David Benjamin de Google informó de que OpenSSL no gestiona adecuadamente SSL_read() y SSL_write() cuando son llamadas en un estado de error, dando lugar a que se pasen datos sin descifrar o cifrar directamente de la capa de registros SSL/TLS.

  • CVE-2017-3738

    Se descubrió que OpenSSL contiene un error de desbordamiento en el procedimiento de multiplicación Montgomery AVX2 usado en potenciación con módulos de 1024 bits.

El aviso del proyecto original contiene más detalles: https://www.openssl.org/news/secadv/20171207.txt

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 1.0.2l-2+deb9u2.

Le recomendamos que actualice los paquetes de openssl1.0.

Para información detallada sobre el estado de seguridad de openssl1.0 consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/openssl1.0