Debians sikkerhedsbulletin
DSA-2454-2 openssl -- flere sårbarheder
- Rapporteret den:
- 24. apr 2012
- Berørte pakker:
- openssl
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2012-0884, CVE-2012-1165, CVE-2012-2110, CVE-2012-2131.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i OpenSSL. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2012-0884
Ivan Nestlerode opdagede en svaghed i implementeringerne af CMS og PKCS Million Message Attack (MMA).
- CVE-2012-1165
Man opdagede, at en NULL-pointer kunne blive derefereret når der blev fortolket visse S/MIME-meddelelser, førende til lammelsesangreb (denial of service).
- CVE-2012-2110
Tavis Ormandy, Google Security Team, opdagede en sårbarhed i den måde, DER-enkodede ASN.1-data blev fortolket, hvilket kunne medføre et heapoverløb.
Desuden er rettelsen af CVE-2011-4619 blevet opdateret, for at løse et problem med SGC-handshakes.
Tomas Hoger, Red Hat, opdagede at rettelsen af CVE-2012-2110 til 0.9.8-rækken af OpenSSL ikke var komplet. Det er blevet registreret som CVE-2012-2131.
I den stabile distribution (squeeze), er disse problemer rettet i version 0.9.8o-4squeeze12.
I distributionen testing (wheezy), vil disse problemer snart blive rettet.
I den ustabile distribution (sid), er disse problemer rettet i version 1.0.1a-1.
Vi anbefaler at du opgraderer dine openssl-pakker.
- CVE-2012-0884