Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3436-1 openssl

Säkerhetsbulletin från Debian

DSA-3436-1 openssl -- säkerhetsuppdatering

Rapporterat den:

2016-01-08

Berörda paket:

openssl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-7575.

Ytterligare information:

Karthikeyan Bhargavan och Gaetan Leurent på INRIA upptäckte en brist i TLS 1.2-protokollet som kunde tillåta MD5-hashfunktionen att användas för att signera ServerKeyExchange och Client Authentication-paket under en TLS-handskakning. En man-in-the-middle-angripare kunde exploatera denna brist för att utföra kollisionsangrepp för att impersonifiera en TLS-server eller en autentiserad TLS-klient.

Mer information kan du hitta på https://www.mitls.org/pages/attacks/SLOTH

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.0.1e-2+deb7u19.

För den stabila utgåvan (Jessie), uttestningsdistributionen (Stretch) och den instabila utgåvan (Sid), har detta problem redan adresserats i version 1.0.1f-1.

Vi rekommenderar att ni uppgraderar era openssl-paket.