A Researchers descobriu duas falhas no OpenSSL, uma biblioteca SSL e ferramentas de criptografia relacionadas. Aplicações que são ligadas a esta biblioteca geralmente são vulneráveis a ataques que podem deixar escapar as chaves privadas do servidor ou fazer com que uma sessão cifrada seja decifrada. O projeto Common Vulnerabilities and Exposures (CVE) identificou as seguintes vulnerabilidades:
Na atual distribuição estável (woody), este problema foi corrigido na versão 0.9.6c-2.woody.3.
Na antiga distribuição estável (potato), este problema foi corrigido na versão 0.9.6c-0.potato.6.
Na distribuição instável (sid), este problema foi corrigido na versão 0.9.7b-1 do openssl e na versão 0.9.6j-1 do openssl096.
Nós recomendamos que você atualize seus pacotes openssl imediatamente e reiniciem as aplicações que usam OpenSSL.
Infelizmente, o RSA não é "thread-seguro" e irá causar falhas em programas que usem threads e o OpenSSL, como o stunnel. De qualquer forma, uma vez que a correção proposta deve mudar a interface binária (ABI), programas que são dinamicamente ligados a OpenSSL não serão executados mais. Este dilema não pode ser resolvido.
Você deve decidir se quer a atualização de segurança, que não é "thread-segura" e recompilar todas as aplicações que aparentemente falharão depois da atualização ou pegar o fonte adicional dos pacotes, recompilá-los e usar uma biblioteca OpenSSL "thread-segura" novamente, mas também recompilar todas as aplicações que farão uso dela (como apache-ssl, mod_ssl, ssh etc.).
No entanto, como somente poucos pacotes usam threads e são ligadas a biblioteca OpenSSL a maioria dos usuários poderão usar os pacotes dessa atualização sem problemas.
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.