Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3253-1 pound

Debians sikkerhedsbulletin

DSA-3253-1 pound -- sikkerhedsopdatering

Rapporteret den:

7. maj 2015

Berørte pakker:

pound

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 723731, Fejl 727197, Fejl 765539, Fejl 765649.
I Mitres CVE-ordbog: CVE-2009-3555, CVE-2012-4929, CVE-2014-3566.

Yderligere oplysninger:

Pound, en reverse HTTP-proxy og load balancer, indeholdt flere problemer med forbindelse til sårbarheder i Secure Sockets Layer-protokollen (SSL).

I Debian 7 (wheezy) tilføjer denne opdatering en manglende del, som faktisk gør det muligt at deaktivere klientinitieret genforhandling og det deaktiveres som standard (CVE-2009-3555). TLS-komprimering er deaktiveret (CVE-2012-4929), selv om det allerede normalt er deaktiveret af OpenSSL-systembiblioteket. Slutteligt tilføjes muligheden for at deaktivere SSLv3-protokollen (CVE-2014-3566) helt gennem opsætningsparameteret DisableSSLv3, selv om det ikke som standard vil være slået fra i denne opdatering. Yderligere er et ikke-sikkerhedsfølsomt problem løst i viderestillingskodningen.

I Debian 8 (jessie) blev problemerne rettet før udgivelsen, med undtagelse af den klientiniterede genforhandling (CVE-2009-3555), som denne opdatering løser i jessie.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 2.6-2+deb7u1.

I den stabile distribution (jessie), er disse problemer rettet i version 2.6-6+deb8u1.

I den ustabile distribution (sid), er disse problemer rettet i version 2.6-6.1.

Vi anbefaler at du opgraderer dine pound-pakker.