Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4157-1 openssl

Säkerhetsbulletin från Debian

DSA-4157-1 openssl -- säkerhetsuppdatering

Rapporterat den:

2018-03-29

Berörda paket:

openssl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2017-3738, CVE-2018-0739.

Ytterligare information:

Flera sårbarheter har upptäckts i OpenSSL, ett verktyg för Secure Sockets Layer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2017-3738

  David Benjamin från Google rapporterade en översvämmningsfel i multiplikationsproceduren AVX2 Montgomery som används i exponentiering med 1024-bitars moduli.

• CVE-2018-0739

  Man har upptäckt att konstruerade ASN.1-typer med rekursiv definition kunde överstiga stacken, vilket potentiellt leder till överbelastning.

Detaljer kan hittas i uppströmsbulletinen: https://www.openssl.org/news/secadv/20180327.txt

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 1.0.1t-1+deb8u8. Den gamla stabila utgåvan påverkas inte av CVE-2017-3738.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 1.1.0f-3+deb9u2.

Vi rekommenderar att ni uppgraderar era openssl-paket.

För detaljerad säkerhetsstatus om openssl vänligen se dess säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/openssl