Man har fundet to fejl i OpenSSL, et Secure Socket Layer (SSL)-bibliotek og relaterede værktøjer til krypografi. Programmer som er lænket mod dette bibliotek, er generelt sårbare overfor angreb, hvilket kan føre til en lækage af en servers private nøgle eller ellers gøre det muligt at dekryptere den krypterede session. Projektet Common Vulnerabilities and Exposures (CVE) har fundet fremt til følgende sårbarheder:
I den stabile distribution (woody) er disse problemer rettet i version 0.9.6c-2.woody.3.
I den gamle stabile distribution (potato) er disse problemer rettt i version 0.9.6c-0.potato.6.
I den ustabile distribution (sid) er disse problemer rettet i version version 0.9.7b-1 af openssl og version 0.9.6j-1 af openssl096.
Vi anbefaler at du omgående opgraderer dine openssl-pakker og genstarter programmer, som anvender OpenSSL.
Desværre er "RSA blinding" ikke thread-safe og vil få programmer, der anvender tråde (threads) og OpenSSL, såsom stunnel, til at gå ned. Men da den foreslåede rettelse vil ændre den binære grænseflade (ABI), vil programmer der er lænket dynamisk mod OpenSSL, ikke køre mere. Dette er et dilemma vi ikke kan løse.
Du er nødt til at beslutte hvorvidt du ønsker sikkerhedsopdateringen, som ikke er "thread-safe" og genoversætte alle programmer, der lader til ikke at fungere efter opgraderingen, eller hente de ekstra kildekodepakker nævnt i slutningen af dette bulletin, genoversætte dem og anvende et "thread-safe" OpenSSL-bibliotek igen, men også genoversætte alle programmer der anvender det (såsom apache-ssl, mod_ssl, ssh osv.).
Da kun meget få pakker anvender tråde og er lænket mod OpenSSL-biblioteket, vil de fleste brugere dog uden problemer kunne anvende pakkerne fra denne opdatering.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.