Säkerhetsbulletin från Debian
DSA-4065-1 openssl1.0 -- säkerhetsuppdatering
- Rapporterat den:
- 2017-12-17
- Berörda paket:
- openssl1.0
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2017-3737, CVE-2017-3738.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i OpenSSL, en verktygslåda för Secure Sockets Layer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2017-3737
David Benjamin från Google rapporterade att OpenSSL inte hanterar SSL_read() och SSL_write() ordentligt medan den åberopas i ett feltillstånd, vilket orsakar data att skickas utan att dekrypteras eller krypteras direkt från SSL/TLS-registerskiktet.
- CVE-2017-3738
Man har upptäckt att OpenSSL innehåller ett buffertspull i multiplikationsproceduren AVX2 Montgomery som används i exponentiering med 1024-bitars modul.
Detaljer kan hittas i uppströmsbulletinen: https://www.openssl.org/news/secadv/20171207.txt
För den stabila utgåvan (Stretch) har dessa problem rättats i version 1.0.2l-2+deb9u2.
Vi rekommenderar att ni uppgraderar era openssl1.0-paket.
För detaljerad säkerhetsstatus om openssl1.0 vänligen se dessa säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/openssl1.0
- CVE-2017-3737