Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2454-2 openssl

Säkerhetsbulletin från Debian

DSA-2454-2 openssl -- flera sårbarheter

Rapporterat den:

2012-04-24

Berörda paket:

openssl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-0884, CVE-2012-1165, CVE-2012-2110, CVE-2012-2131.

Ytterligare information:

Flera sårbarheter har upptäckts i OpenSSL. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2012-0884

  Ivan Nestlerode upptäckte en svaghet i implementationerna av CMS och PKCS #7 som kunde tillåta en angripare att dekryptera data via ett Million Message-angrepp (MMA).

• CVE-2012-1165

  Man har upptäckt att en NULL-pekare kunde derefereras vid tolkning av vissa S/MIME-meddelanden, vilket leder till överbelastning.

• CVE-2012-2110

  Tavis Ormandy, från Google Security Team, upptäckte en sårbarhet i sättet som DER-kodad ASN.1-data tolkas som kan resultera i ett heapbaserat bufferspill.

Utöver detta så har rättningen för CVE-2011-4619 uppdaterats för att addressera ett problem med SGC-handskakningar.

Tomas Hoger, Red Hat, upptäckte att rättningen för CVE-2012-2110 för 0.9.8-serien av OpenSSL var inkomplett. Detta problem har tilldelats identifieraren CVE-2012-2131.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 0.9.8o-4squeeze12.

För uttestningsutgåvan (Wheezy) kommer dessa problem att rättas inom kort.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.0.1a-1.

Vi rekommenderar att ni uppgraderar era openssl-paket.