Bacheca Debian sulla sicurezza
DSA-4963-1 openssl -- aggiornamento di sicurezza
- Data della segnalazione:
- 24 ago 2021
- Pacchetti coinvolti:
- openssl
- Vulnerabile:
- Sì
- Referenze all'interno del database della sicurezza:
- Nel dizionario CVE di Mitre: CVE-2021-3711, CVE-2021-3712.
- Maggiori informazioni:
-
Sono state scoperte varie vulnerabilità in OpenSSL, uno strumento per il Secure Sockets Layer.
- CVE-2021-3711
John Ouyang ha riferito di una vulnerabilità di tipo «buffer overflow» nella decifratura SM2. Chi ha il permesso di presentare un contenuto cifrato con SM2 ad una applicazione, sfruttando questa vulnerabilità, può cambiare il comportamento dell'applicazione o causarne l'arresto (denial of service).
- CVE-2021-3712
Ingo Schwarze ha riferito di un problema di tipo «buffer underrun» durante la gestione di stringhe ASN.1 nella funzione X509_aux_print() che può portare ad un blocco del servizio.
Dettagli aggiuntivi possono essere trovati nell'avviso a monte: https://www.openssl.org/news/secadv/20210824.txt
Per la vecchia distribuzione stabile (buster), questi problemi sono stati risolti nella versione 1.1.1d-0+deb10u7.
Per la distribuzione stabile (bullseye), questi problemi sono stati risolti nella versione 1.1.1k-1+deb11u1.
Raccomandiamo di aggiornare i propri pacchetti openssl.
Per lo stato dettagliato della sicurezza di openssl, fare riferimento a https://security-tracker.debian.org/tracker/openssl
- CVE-2021-3711