blob: 7a0fdae8f8a7ad7c0f4559959878f61cfcbee78d (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
|
#use wml::debian::translation-check translation="eb07ed1d1aa3fba5629a6141af3070f9506707bd" mindelta="1"
<define-tag description>säkerhetsuppdatering</define-tag>
<define-tag moreinfo>
<p>Flera sårbarheter har upptäckts i OpenSSL, biblioteket och
verktygsuppsättningen Secure Sockets Layer.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3513">CVE-2014-3513</a>
<p>Ett minnesläckage har upptäckts i sättet som OpenSSL tolkar data från
insticksmodulen DTLS Secure Real-time Transport Protocol (SRTP). En
fjärrangripare kunde skicka flera speciellt skapade handskakningsmeddelanden
för att förbruka allt tillgängligt minne i en SSL/TLS- eller
DTLS-server.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566">CVE-2014-3566 ("POODLE")</a>
<p>En brist har upptäckts i sättet som SSL 3.0 hanterar utfyllnadsbytes
vid dekryptering av meddelanden som har krypterats av blockskiffer i
cipher block chaining (CBS)-läge. Denna brist tillåter en
man-in-the-middle-angripare (MITM) att dekryptera en vald byte av en
skiffrad text på så lite som 256 försök om de har möjlighet att tvinga
en offerapplikation att upprepat skicka samma data över på nytt skapade
SSL 3.0-anslutningar.</p>
<p>Denna uppdatering lägger till stöd för Fallback SCSV för att lindra
detta problem.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3567">CVE-2014-3567</a>
<p>En minnesläckage har upptäckts i sättet som en OpenSSL hanterar
integritetskontroller för misslyckade sessionskvitton. En fjärrangripare
kunde förbruka allt tillgängligt minne i en SSL/TLS- eller DTLS-server
genom att skicka en stor mängd ogiltiga sessionskvitton till denna
server.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3568">CVE-2014-3568</a>
<p>När OpenSSL konfigureras med "no-ssl3" som byggalternativ, kunde servrar
acceptera och avsluta en SSL 3.0-handskakning, och klienter kunde
konfigureras att skicka dessa.</p></li>
</ul>
<p>För den stabila utgåvan (Wheezy) har dessa problem rättats i
version 1.0.1e-2+deb7u13.</p>
<p>För den instabila utgåvan (Sid) har dessa problem rättats i
version 1.0.1j-1.</p>
<p>Vi rekommenderar att ni uppgraderar era openssl-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3053.data"
|
