Debians sikkerhedsbulletin

DSA-4475-1 openssl -- sikkerhedsopdatering

Rapporteret den:
1. jul 2019
Berørte pakker:
openssl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2019-1543.
Yderligere oplysninger:

Joran Dirk Greef opdagede at at for lange noncer, anvendt med ChaCha20-Poly1305, på ukorrekt vis blev behandlet og kunne medføre nonce-genbrug. Det påvirker ikke intern anvendelse i OpenSSL af ChaCha20-Poly1305, så som TLS.

I den stabile distribution (stretch), er dette problem rettet i version 1.1.0k-1~deb9u1. Denne DSA opgraderer openssl1.0 (som ikke selv er påvirket af CVE-2019-1543) til 1.0.2s-1~deb9u1

Vi anbefaler at du opgraderer dine openssl-pakker.

For detaljeret sikkerhedsstatus vedrørende openssl, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/openssl