Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3197-1 openssl

Debians sikkerhedsbulletin

DSA-3197-1 openssl -- sikkerhedsopdatering

Rapporteret den:

19. mar 2015

Berørte pakker:

openssl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-0209, CVE-2015-0286, CVE-2015-0287, CVE-2015-0288, CVE-2015-0289, CVE-2015-0292.

Yderligere oplysninger:

Adskillige sårbarheder er opdaget i OpenSSL, et Secure Sockets Layer-værktøjssæt. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2015-0286

  Stephen Henson opdagede at funktionen ASN1_TYPE_cmp() kunne bringes til at gå ned, medførende lammelsesangreb (denial of service).

• CVE-2015-0287

  Emilia Kaesper opdagede en forekomst af hukommelseskorruption i ASN.1-fortolkningen.

• CVE-2015-0289

  Michal Zalewski opdagede en NULL-pointerdereference i PKCS#7-fortolkningskoden, medførende lammelsesangreb.

• CVE-2015-0292

  Man opdagede at manglende fornuftighedskontrol af inddata i base64-dekodningen måske kunne medføre hukommelseskorruption.

• CVE-2015-0209

  Man opdagede at en misdannet privat EC-nøgle måske kunne medføre hukommelseskorruption.

• CVE-2015-0288

  Man opdagede at manglende fornuftighedskontrol af inddata i funktionen X509_to_X509_REQ(), måske kunne medføre et lammelsesangreb.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.0.1e-2+deb7u15. I opdateringen er export ciphers fjernet fra standard-cipherlisten.

Vi anbefaler at du opgraderer dine openssl-pakker.