Säkerhetsbulletin från Debian
DSA-4475-1 openssl -- säkerhetsuppdatering
- Rapporterat den:
- 2019-07-01
- Berörda paket:
- openssl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2019-1543.
- Ytterligare information:
-
Joran Dirk Greef upptäckte att överdrivet långa nummer som används en gång som används med ChaCha20-Poly1305 behandlades felaktigt och kunde resultera i återanvändning av dessa nummer. Detta påverkar inte intern användning av ChaCha20-Poly1305 i OpenSSL så som TLS.
För den stabila utgåvan (Stretch) har detta problem rättats i version 1.1.0k-1~deb9u1. Denna DSA uppgraderar även openssl1.0 (som inte självt påverkas av CVE-2019-1543) till 1.0.2s-1~deb9u1
Vi rekommenderar att ni uppgraderar era openssl-paket.
För detaljerad säkerhetsstatus om openssl vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/openssl