Säkerhetsbulletin från Debian

DSA-4065-1 openssl1.0 -- säkerhetsuppdatering

Rapporterat den:
2017-12-17
Berörda paket:
openssl1.0
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2017-3737, CVE-2017-3738.
Ytterligare information:

Flera sårbarheter har upptäckts i OpenSSL, en verktygslåda för Secure Sockets Layer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2017-3737

    David Benjamin från Google rapporterade att OpenSSL inte hanterar SSL_read() och SSL_write() ordentligt medan den åberopas i ett feltillstånd, vilket orsakar data att skickas utan att dekrypteras eller krypteras direkt från SSL/TLS-registerskiktet.

  • CVE-2017-3738

    Man har upptäckt att OpenSSL innehåller ett buffertspull i multiplikationsproceduren AVX2 Montgomery som används i exponentiering med 1024-bitars modul.

Detaljer kan hittas i uppströmsbulletinen: https://www.openssl.org/news/secadv/20171207.txt

För den stabila utgåvan (Stretch) har dessa problem rättats i version 1.0.2l-2+deb9u2.

Vi rekommenderar att ni uppgraderar era openssl1.0-paket.

För detaljerad säkerhetsstatus om openssl1.0 vänligen se dessa säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/openssl1.0