Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2141-1 openssl

Debians sikkerhedsbulletin

DSA-2141-1 openssl -- SSL/TLS-designfejl i forbindelse med usikker genforhandlingsprotokol

Rapporteret den:

6. jan 2011

Berørte pakker:

openssl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 555829.
I Mitres CVE-ordbog: CVE-2009-3555, CVE-2010-4180.

Yderligere oplysninger:

DSA-2141 består af tre individuelle dele, som kan ses i postlistearkivet: DSA 2141-1 (openssl), DSA 2141-2 (nss), DSA 2141-3 (apache2) og DSA 2141-4 (lighttpd). Denne side dækker kun den første del, openssl.

• CVE-2009-3555

  Marsh Ray, Steve Dispensa og Martin Rex opdagede en fejl i TLS- og SSLv3-protokollerne. Hvis en angriber kunne udføre et manden i midten-angreb ved starten af en TLS-forbindelse, kunne angriberen indsprøjte vilkårligt indhold i starten af brugerens session. Denne opdatering tilføjer tilbageført understøttelse af den nye RFC5746-genforhandlingsudvidelse, som løser problemet.

  Hvis openssl anvendes i en serverapplikation, vil den som standard ikke længere acceptere genforhandling fra klienter, som ikke understøtter den sikre RFC5746-genforhandlingsudvidelse. En separat bulletin vil tilføje RFC5746-understøttelse til nss, sikkerhedsbiblioktet som anvendes af webbrowseren iceweasel. Der følger en opdatering til apache2, som gør det muligt at genaktivere usikker genforhandling.

  Denne version af openssl er ikke kompatibel med ældre versioner af tor. Man skal som minimum anvende tor version 0.2.1.26-1~lenny+1, der er medtaget i punktopdatering 5.0.7 af Debians stabile udgave.

  I øjeblikket har vi ikke kendskab til anden software med lignende kompatibilitetsproblemer.

• CVE-2010-4180

  Denne opdatering retter desuden en fejl, der gjorde det muligt for en klient at omgå begrænsninger opsat på serveren vedrørende den anvendte cipher-suite.

I den stabile distribution (lenny), er dette problem rettet i version 0.9.8g-15+lenny11.

I den ustabile distribution (sid) og i distributionen testing (squeeze), er dette problem rettet i version 0.9.8o-4.

Vi anbefaler at du opgraderer din openssl-pakke.

Flere oplysninger om Debian Security Advisories, hvordan man installerer disse opdateringer på sit system samt ofte stillede spørgsmål findes på: https://www.debian.org/security/