1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
|
#use wml::debian::translation-check translation="04fb23e401d47c5cddcf4efecbd1d1e4b983adea" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Flere sårbarheder blev opdaget i OpenSSL, et Secure Socket
Layer-værktøjssæt.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0702">CVE-2016-0702</a>
<p>Yuval Yarom fra University of Adelaide og NICTA, Daniel Genkin fra
Technion og Tel Aviv University, samt Nadia Heninger fra University of
Pennsylvania opdagede et sidekanalsangreb, der gør brug af
cachebankkonflikter på mikroarkitekturen Intel Sandy-Bridge. Dermed kunne
lokale angribere få adgang til private RSA-nøgler.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0705">CVE-2016-0705</a>
<p>Adam Langley fra Google opdagede en dobbelt frigivelse-fejl ved
behandling af misdannede private DSA-nøgler. Dermed kunne fjernangribere
forårsage et lammelsesangreb (denial of service) eller hukommelseskorruption
i applikationer, som fortolker private DSA-nøgler, modtaget fra kilder, der
ikke er tillid til.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0797">CVE-2016-0797</a>
<p>Guido Vranken opdagede et heltalsoverløb i funktionerne BN_hex2bn og
BN_dec2bn, hvilket kunne føre til en NULL-pointerdereference og
heapkorruption. Dermed kunne fjernangribere forårsage et lammelsesangreb
eller hukommelseskorruption i applikationer, som behandler hex- eller
dec-data modtaget fra kilder, der ikke er tillid til.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0798">CVE-2016-0798</a>
<p>Emilia Käsper fra OpenSSL-udviklingsholdet, opdagede en
hukommelseslæaage i koden til opslag i SRP-databasen. For at imødegå
hukommelseslækagen, er seed-håndteringen i SRP_VBASE_get_by_user nu
deaktiveret, selv om brugeren har opsat en seed. Applikationer bør
migreres til funktionen SRP_VBASE_get1_by_user.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0799">CVE-2016-0799</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-2842">CVE-2016-2842</a>
<p>Guido Vranken opdagede et heltalsoverløb i funktionerne BIO_*printf,
hvilke kunne føre til en OOB-læsning, når meget store strenge blev
udskrevet. Desuden kunne den interne funktion doapr_outch forsøge at
skrive til en vilkårlig hukommelsesplacering, i tilfælde af en
hukommelsesallokeringsfejl. Disse problemer optræder kun på platforme,
hvor sizeof(size_t) > sizeof(int), dvs. mange 64 bit-systemer. Dermed
kunne fjernangribere forårsage et lammelsesangreb eller
hukommelseskorruption i applikationer, som overfører store mængder data,
der ikke er tillid til, il funktionerne BIO_*printf.</p></li>
</ul>
<p>Desuden er cipherne EXPORT og LOW blev deaktiveret, da de kunne anvendes som
en del af DROWN-
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-0800">CVE-2016-0800</a>)
og SLOTH-
(<a href="https://security-tracker.debian.org/tracker/CVE-2015-7575">CVE-2015-7575</a>)
angrebene, men bemærk at den gamle stabile distribution (wheezy) og den stabile
distribution (jessie), ikke er påvirket af disse angreb, da SSLv2-protokollen
allerede er droppet i openssl-pakkens version 1.0.0c-2.</p>
<p>I den gamle stabile distribution (wheezy), er disse problemer rettet i
version 1.0.1e-2+deb7u20.</p>
<p>I den stabile distribution (jessie), er disse problemer rettet i version
1.0.1k-3+deb8u4.</p>
<p>I den ustabile distribution (sid), vil disse problemer blive rettet om kort
tid.</p>
<p>Vi anbefaler at du opgraderer dine openssl-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3500.data"
|
