Debians sikkerhedsbulletin
DSA-4157-1 openssl -- sikkerhedsopdatering
- Rapporteret den:
- 29. mar 2018
- Berørte pakker:
- openssl
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2017-3738, CVE-2018-0739.
- Yderligere oplysninger:
-
Adskillige sårbarheder er opdaget i OpenSSL, et Secure Sockets Layer-værktøjssæt. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2017-3738
David Benjamin fra Google rapporterede om en overløbsfejl i AVX2 Montgomery-multiplikationsproceduren, der anvendes i eksponentiering med 1024 bit-moduli.
- CVE-2018-0739
Man opdagede at konstruerede ASN.1-typer med en rekursiv definition, kunne overskride stakken, potentielt førende til et lammelsesangreb.
Flere oplysninger finder man i opstrøms bulletin: https://www.openssl.org/news/secadv/20180327.txt
I den gamle stabile distribution (jessie), er disse problemer rettet i version 1.0.1t-1+deb8u8. Den gamle stabile distribution er ikke påvirket af CVE-2017-3738.
I den stabile distribution (stretch), er disse problemer rettet i version 1.1.0f-3+deb9u2.
Vi anbefaler at du opgraderer dine openssl-pakker.
For detaljeret sikkerhedsstatus vedrørende openssl, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/openssl
- CVE-2017-3738