Debian-Sicherheitsankündigung

DSA-875-1 openssl094 -- Kryptografische Schwachstelle

Datum des Berichts:

27. Okt 2005

Betroffene Pakete:

openssl094

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2005-2969.

Weitere Informationen:

Yutaka Oiwa entdeckte eine Verwundbarkeit in der »Open Secure Socket Layer«-Bibliothek (OpenSSL), die einem Angreifer ermöglicht, Angriffe mittels aktiver Zurückstufung der Protokollversion durchzuführen. Dies kann zur Verwendung des schwächeren Protokolls SSL 2.0 führen, selbst wenn beide Gegenstellen SSL 3.0 oder TLS 1.0 unterstützen.

Die folgende Matrix listet auf, in welcher Version und Distribution das Problem korrigiert wurde.

	Oldstable (Woody)	Stable (Sarge)	Unstable (Sid)
openssl	0.9.6c-2.woody.8	0.9.7e-3sarge1	0.9.8-3
openssl094	0.9.4-6.woody.4	n/a	n/a
openssl095	0.9.5a-6.woody.6	n/a	n/a
openssl096	n/a	0.9.6m-1sarge1	n/a
openssl097	n/a	n/a	0.9.7g-5

Wir empfehlen Ihnen, Ihre libssl-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4-6.woody.4.dsc; http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4-6.woody.4.diff.gz; http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/o/openssl094/libssl09_0.9.4-6.woody.4_alpha.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/o/openssl094/libssl09_0.9.4-6.woody.4_i386.deb
PowerPC:: http://security.debian.org/pool/updates/main/o/openssl094/libssl09_0.9.4-6.woody.4_powerpc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.