Yutaka Oiwa a découvert une vulnérabilité dans la bibliothèque OpenSSL. Cette vulnérabilité pouvait permettre à un attaquant d'abaisser la version du protocole utilisée, ce qui pouvait mener à l'utilisation du protocole plus faible SSL 2.0 même si SSL 3.0 ou TLS 1.0 sont gérés aux deux extrémités.
Le tableau suivant explique pour chaque distribution quelle version contient la correction :
| ancienne stable (Woody) | stable (Sarge) | instable (Sid) | |
|---|---|---|---|
| openssl | 0.9.6c-2.woody.8 | 0.9.7e-3sarge1 | 0.9.8-3 |
| openssl094 | 0.9.4-6.woody.4 | N.D. | N.D. |
| openssl095 | 0.9.5a-6.woody.6 | N.D. | N.D. |
| openssl096 | N.D. | 0.9.6m-1sarge1 | N.D. |
| openssl097 | N.D. | N.D. | 0.9.7g-5 |
Nous vous recommandons de mettre à jour vos paquets libssl.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.