Рекомендация Debian по безопасности

DSA-4475-1 openssl -- обновление безопасности

Дата сообщения:
01.07.2019
Затронутые пакеты:
openssl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2019-1543.
Более подробная информация:

Йоран Дирк Гриф обнаружил, что слишком длинные случайные коды, используемые с ChaCha20-Poly1305, обрабатываются неправильно и могут приводить к повторному использованию случайных кодов. Это не касается внутреннего для OpenSSL использования ChaCha20-Poly1305, например, в TLS.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 1.1.0k-1~deb9u1. Также данная рекомендация содержит обновление для пакета openssl1.0 (который сам по себе не подвержен CVE-2019-1543) до версии 1.0.2s-1~deb9u1

Рекомендуется обновить пакеты openssl.

С подробным статусом поддержки безопасности openssl можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/openssl