Debians sikkerhedsbulletin
DSA-4065-1 openssl1.0 -- sikkerhedsopdatering
- Rapporteret den:
- 17. dec 2017
- Berørte pakker:
- openssl1.0
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2017-3737, CVE-2017-3738.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i OpenSSL, et Secure Sockets Layer-værktøjssæt. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2017-3737
David Benjamin fra Google rapporterede at OpenSSL ikke på korrekt vis hpnterede SSL_read() og SSL_write(), efter at have været blevet kaldt i en fejltilstand, medførende at data blev overført uden at blive dekrypteret eller krypteret direkte fra SSL-/TLS-recordlaget.
- CVE-2017-3738
Man opdagede at OpenSSL indeholdt en overløbsfejl i proceduren til AVX2 Montgomery-multiplikation, som anvende i eksponentialisering med 1024 bit-moduli.
Flere oplysninger finder man i opstrøms bulletin: https://www.openssl.org/news/secadv/20171207.txt
I den stabile distribution (stretch), er disse problemer rettet i version 1.0.2l-2+deb9u2.
Vi anbefaler at du opgraderer dine openssl1.0-pakker.
For detaljeret sikkerhedsstatus vedrørende openssl1.0, se dens sikkerhedssporingsside: https://security-tracker.debian.org/tracker/openssl1.0
- CVE-2017-3737