Sikkerhedsoplysninger / 2019 / Sikkerhedsoplysninger -- DSA-4539-1 openssl

Debians sikkerhedsbulletin

DSA-4539-1 openssl -- sikkerhedsopdatering

Rapporteret den:

1. okt 2019

Berørte pakker:

openssl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2019-1547, CVE-2019-1549, CVE-2019-1563.

Yderligere oplysninger:

Tre sikkerhedsproblemer blev opdaget i OpenSSL: Et timingangreb mod ECDSA, et paddingorakel i PKCS7_dataDecode() og CMS_decrypt_set1_pkey(), og der blev opdaget at en funktionalitet i generatoren af tilfældige tal (RNG), med den formål at beskytte mod delt RNG-tilstand mellem forælder- og barneprocesser i tilfælde af et fork()-systemkald, blev ikke benyttet som standard.

I den gamle stabile distribution (stretch), er disse problemer rettet i version 1.1.0l-1~deb9u1.

I den stabile distribution (buster), er disse problemer rettet i version 1.1.1d-0+deb10u1.

Vi anbefaler at du opgraderer dine openssl-pakker.

For detaljeret sikkerhedsstatus vedrørende openssl, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/openssl