Исследователи обнаружили два изъяна в OpenSSL, библиотеке протокола Secure Socket Layer (SSL) и связанных криптографических инструментах. Приложения, собранные с использованием этой библиотеки, в основном, уязвимы к атакам, которые могут привести к утечке частного ключа сервера или сделать сеанс шифрования уязвимым к расшифровке. Проект Common Vulnerabilities and Exposures (CVE) идентифицировал следующие уязвимости:
В стабильном дистрибутиве (woody) эти проблемы исправлены в версии 0.9.6c-2.woody.3.
В старом стабильном дистрибутиве (potato) эти проблемы исправлены в версии 0.9.6c-0.potato.6.
В нестабильном дистрибутиве (sid) эти проблемы исправлены в версии 0.9.7b-1 пакета openssl и версии 0.9.6j-1 пакета openssl096.
Мы рекомендуем вам немедленно обновить пакеты openssl и перезапустить приложения, использующие OpenSSL.
К сожалению, "ослепление" RSA недостаточно надёжно работает с потоками, и может вызвать ошибки в программах, использующих и потоки, и OpenSSL, таких как stunnel. Тем не менее, поскольку предлагаемое исправление меняет двоичный интерфейс (ABI), программы, связанные с OpenSSL динамически, больше не будут работать. Это дилемма, которую мы не в состоянии решить.
Вам придётся решить, хотите ли вы получить обновление, связанное с безопасностью, ненадёжно работающее с потоками, и перекомпилировать все приложения, которые не смогут работать после обновления, или же загрузить дополнительные пакеты с исходным кодом в конце данного предложения, перекомпилировать их и использовать библиотеку OpenSSL, безопасно работающую с потоками, но также перекомпилировать все приложения, использующие её (такие как apache-ssl, mod_ssl, ssh и т.д.).
Тем не менее, поскольку лишь очень немногие пакеты используют потоки и связаны с OpenSSL, большинство пользователей смогут использовать пакеты из этого обновления без каких-либо проблем.
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.