Aviso de seguridad de Debian

DSA-4157-1 openssl -- actualización de seguridad

Fecha del informe:
29 de mar de 2018
Paquetes afectados:
openssl
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2017-3738, CVE-2018-0739.
Información adicional:

Se han descubierto múltiples vulnerabilidades en OpenSSL, un juego de herramientas para la capa de puertos seguros («Secure Sockets Layer»). El proyecto «Vulnerabilidades y revelaciones comunes» («Common Vulnerabilities and Exposures») identifica los problemas siguientes:

  • CVE-2017-3738

    David Benjamin de Google informó de un error por desbordamiento en el procedimiento de multiplicación Montgomery AVX2 usado en potenciación con módulos de 1024 bits.

  • CVE-2018-0739

    Se descubrió que los tipos ASN.1 construidos cuya definición es recursiva podrían sobrepasar la pila, dando lugar, potencialmente, a denegación de servicio.

El aviso del proyecto original contiene más detalles: https://www.openssl.org/news/secadv/20180327.txt

Para la distribución «antigua estable» (jessie), estos problemas se han corregido en la versión 1.0.1t-1+deb8u8. CVE-2017-3738 no afecta a la distribución «antigua estable».

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 1.1.0f-3+deb9u2.

Le recomendamos que actualice los paquetes de openssl.

Para información detallada sobre el estado de seguridad de openssl consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/openssl