Säkerhetsbulletin från Debian

DSA-4475-1 openssl -- säkerhetsuppdatering

Rapporterat den:
2019-07-01
Berörda paket:
openssl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2019-1543.
Ytterligare information:

Joran Dirk Greef upptäckte att överdrivet långa nummer som används en gång som används med ChaCha20-Poly1305 behandlades felaktigt och kunde resultera i återanvändning av dessa nummer. Detta påverkar inte intern användning av ChaCha20-Poly1305 i OpenSSL så som TLS.

För den stabila utgåvan (Stretch) har detta problem rättats i version 1.1.0k-1~deb9u1. Denna DSA uppgraderar även openssl1.0 (som inte självt påverkas av CVE-2019-1543) till 1.0.2s-1~deb9u1

Vi rekommenderar att ni uppgraderar era openssl-paket.

För detaljerad säkerhetsstatus om openssl vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/openssl