Debians sikkerhedsbulletin

DSA-2454-2 openssl -- flere sårbarheder

Rapporteret den:
24. apr 2012
Berørte pakker:
openssl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2012-0884, CVE-2012-1165, CVE-2012-2110, CVE-2012-2131.
Yderligere oplysninger:

Flere sårbarheder er opdaget i OpenSSL. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2012-0884

    Ivan Nestlerode opdagede en svaghed i implementeringerne af CMS og PKCS Million Message Attack (MMA).

  • CVE-2012-1165

    Man opdagede, at en NULL-pointer kunne blive derefereret når der blev fortolket visse S/MIME-meddelelser, førende til lammelsesangreb (denial of service).

  • CVE-2012-2110

    Tavis Ormandy, Google Security Team, opdagede en sårbarhed i den måde, DER-enkodede ASN.1-data blev fortolket, hvilket kunne medføre et heapoverløb.

Desuden er rettelsen af CVE-2011-4619 blevet opdateret, for at løse et problem med SGC-handshakes.

Tomas Hoger, Red Hat, opdagede at rettelsen af CVE-2012-2110 til 0.9.8-rækken af OpenSSL ikke var komplet. Det er blevet registreret som CVE-2012-2131.

I den stabile distribution (squeeze), er disse problemer rettet i version 0.9.8o-4squeeze12.

I distributionen testing (wheezy), vil disse problemer snart blive rettet.

I den ustabile distribution (sid), er disse problemer rettet i version 1.0.1a-1.

Vi anbefaler at du opgraderer dine openssl-pakker.