Debians sikkerhedsbulletin
DSA-4963-1 openssl -- sikkerhedsopdatering
- Rapporteret den:
- 24. aug 2021
- Berørte pakker:
- openssl
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2021-3711, CVE-2021-3712.
- Yderligere oplysninger:
-
Adskillige sårbarheder er opdaget i OpenSSL, et Secure Sockets Layer-værktøjssæt.
- CVE-2021-3711
John Ouyang rapporterede om en bufferoverløbssårbarhed i SM2-dekryptering. En angriber i stand til at præsentere SM2-indhold til dekryptering til en applikation, kunne drage nytte af fejlen to at ændre applikationsvirkemåde eller forårsage at applikationen gik ned (lammelsesangreb).
- CVE-2021-3712
Ingo Schwarze rapporterede en bufferoverløbsfejl ved behandling af ASN.1-strenge i funktionen X509_aux_print(), hvilket kunne medføre lammelsesangreb.
Yderligere oplysninger findes i opstrøms bulletin: https://www.openssl.org/news/secadv/20210824.txt
I den gamle stabile distribution (buster), er disse problemer rettet i version 1.1.1d-0+deb10u7.
I den stabile distribution (bullseye), er disse problemer rettet i version 1.1.1k-1+deb11u1.
Vi anbefaler at du opgraderer dine openssl-pakker.
For detaljeret sikkerhedsstatus vedrørende openssl, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/openssl
- CVE-2021-3711