Se han descubierto varias denegaciones de servicio en el paquete de software criptográfico OpenSSL, que podían permitir que un atacante lanzase un ataque de denegación de servicio agotando los recursos del sistema o haciendo caer los proceso del computador de la víctima.
Tavis Ormandy y Will Drewry, del equipo de seguridad de Google, descubrieron un desbordamiento de búfer en la función de la utilidad SSL_get_shared_ciphers, que usan algunas aplicaciones como exim y mysql. Un atacante podía enviar una lista de cifras que desbordarían un búfer.
Tavis Ormandy y Will Drewry, del equipo de seguridad de Google, descubrieron un posible ataque de denegación de servicio en el código del cliente sslv2. Cuando una aplicación cliente utilizaba OpenSSL para hacer una conexión SSLv2 a un servidor pernicioso, ese servidor podía provocar la caída del cliente..
Dr S N Henson, del equipo del núcleo de OpenSSL de Open Network Security desarrollaron recientemente una suite de pruebas ASN para NISCC (www.niscc.gov.uk). Cuando se hizo funcionar esta suite de pruebas sobre OpenSSL se descubrió un ataque de denegación de servicio.
Algunos tipos de claves públicas podían necesitar desproporcionadas cantidades de tiempo en ser procesadas. Esto se podía utilizar para realizar un ataque de denegación de servicio.
Para la distribución estable (sarge), estos problemas se han corregido en la versión 0.9.6m-1sarge4.
Este paquete existe sólo por compatibilidad con los programas antiguos, y no está presente en las ramas inestable ni testing de Debian.
Le recomendamos que actualice el paquete openssl096. Tenga en cuenta que los servicios que enlacen con las bibliotecas compartidas de openssl se tienen que reiniciar. Algunos de estos servicios son los agentes de transporte de correo, los servidores SSH y los servidores web.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.