此次安全漏洞更新包括openssl和libpam-sshauth更新。
漏洞概述
DSA-3566-1 openssl——安全更新
安全数据库详细信息:
- CVE-2016-2105:在 EVP_EncodeUpdate函数中发生一个溢出漏洞,用于Base64编码。如果攻击者提供大量的数据,则可能会导致堆损坏。
- CVE-2016-2106:在 EVP_EncodeUpdate函数中发生一个溢出漏洞,用于Base64编码。如果攻击者提供大量的数据,则可能会导致堆损坏。
- CVE-2016-2107:AES算法的CBC模式加密中的一个填充预言实现。这允许攻击者解密基于AES CBC密码套件的一个加密的TLS流量。
- CVE-2016-2108:在ASN.1编码器中,两上独立的漏洞,涉及到负零整数值和大型通用标签处理,可能会导致越界写的操作。
- CVE-2016-2109:在ASN.1中从BIO函数中(例如)读取数据时,一个短无效编码可能会导致大量内存的过多消耗或耗尽内存。
DSA-3567-1 libpam-sshauth——安全更新
安全数据库详细信息:
- CVE-2016-4422:在libpam-sshauth中,一个使用ssh服务的验证的PAM模块,不能正确处理系统的用户。在某些配置中,攻击者可以自用此漏洞的优势来获得root权限。
修复情况
openssl的安全漏洞在1.0.2h-1版本中进行了修复;libpam-sshauth的安全漏洞在0.4.1-2版本中进行了修复。
请各位尽快更新系统以获取漏洞修复补丁。