1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
|
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" mindelta="1"
<define-tag description>LTS-sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Denne opdatering retter visse kendte sårbarheder i pound i squeeze-lts ved at
tilbageføre versionen fra wheezy.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-3555">CVE-2009-3555</a>
<p>TLS-protokollen og SSL-protokol 3.0 samt muligvis tidligere, som
anvendes i Microsoft Internet Information Services (IIS) 7.0, mod_ssl i
Apache HTTP Server 2.2.14 og tidligere, OpenSSL før 0.9.8l, GnuTLS 2.8.5 og
tidligere, Mozilla Network Security Services (NSS) 3.12.4 og tidligere,
adskillige Cisco-produkter, samt andre produkter, tilknyttede ikke på
korrekt vis genforhandlingshandshakes med en eksisterende forbindelse,
hvilket gjorde det muligt for manden i midten-angribere at indsætte data i
HTTPS-sessioner, og muligvis andre former for sessioner beskyttet af TLS
eller SSL, ved at sende en uautentificeret forespørgsel, som behandles med
tilbagevirkende kraft af en server i en efter genforhandlingskontekst med
relation til et <q>plaintext injection</q>-angreb, alias <q>Project
Mogul</q>-problemet.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3389">CVE-2011-3389</a>
<p>SSL-protokollen, som anvendes i visse opsætninger i Microsoft Windows og
Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, samt
andre produkter, krypterer data ved at anvende CBC-tilstand med kædede
initialiseringsvektorer, hvilket gjorde det muligt for manden i
midten-angribere at fat i HTTP-headere i klartekst gennem et blokvist
valgt-grænse-angreb (BCBA) på en HTTPS-session, i sammenhæng med
JavaScript-kode, som anvender (1) HTML5 WebSocket API, (2) Java
URLConnection API eller (3) Silverlight WebClient API, alias et
<q>BEAST</q>-angreb.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4929">CVE-2012-4929</a>
<p>TLS-protokol 1.2 og tidligere, som anvendes i Mozilla Firefox, Google
Chrome, Qt og andre produkter, kunne kryptere komprimerede data uden på
korrekt vis at gøre et forsøg på at skjule længden på de ukrypterede data,
hvilket gjorde det muligt for manden i midten-angribere at få adgang til
HTTP-headere i klartekst, ved at holde øje med længdeforskelle under en
række gæt, i hvilke en streng i en HTTP-forespørgsel potentielt svarer til
en ukendt streng i en HTTP-header, alias et <q>CRIME</q>-angreb.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566">CVE-2014-3566</a>
<p>SSL protocol 3.0, som anvendes i OpenSSL til og med 1.0.1i og i andre
produkter, anvender ikke-deterministisk CBC-padding, hvilket gør det
lettere for manden i midten-angribere at få adgang til data i klartekst
gennem et padding-orakel-angreb, alias <q>POODLE</q>-problemet.</p></li>
</ul>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-400.data"
|