Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2998-1 openssl

Säkerhetsbulletin från Debian

DSA-2998-1 openssl -- säkerhetsuppdatering

Rapporterat den:

2014-08-07

Berörda paket:

openssl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-3505, CVE-2014-3506, CVE-2014-3507, CVE-2014-3508, CVE-2014-3509, CVE-2014-3510, CVE-2014-3511, CVE-2014-3512, CVE-2014-5139.

Ytterligare information:

Flera sårbarheter har upptäckts i OpenSSL, ett verktyg för Secure Sockets Layer, som kan leda till överbelastning (applikationskrasch, stor minneskonsumption), informationsläckage, protokollnedgradering. Utöver detta har ett buffertspill som endast påverkar program uttryckligen inställda för SRP rättats (CVE-2014-3512).

Detaljerade beskrivningar av sårbarheterna kan hittas på: https://www.openssl.org/news/secadv_20140806.txt

Det är viktigt att du uppgraderar paketet libssl1.0.0 och inte bara paketet openssl.

Alla program som länkar mot openssl måste startas om. Du kan använda verktyget checkrestart från paketet debian-goodies för att detektera påverkade program. Alternativt kan du starta om ditt system.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.0.1e-2+deb7u12.

För uttestningsutgåvan (Jessie), kommer dessa problem att rättas inom kort.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.0.1i-1.

Vi rekommenderar att ni uppgraderar era openssl-paket.