openssl-compat: Update to 1.0.2q
authorMichael Tremer <michael.tremer@ipfire.org>
Tue, 20 Nov 2018 16:28:52 +0000 (16:28 +0000)
committerMichael Tremer <michael.tremer@ipfire.org>
Tue, 20 Nov 2018 16:28:52 +0000 (16:28 +0000)
commit5ca47910a7b5b7fd19422ed6311a391d68c56e95
treea54e3725150868707713a9e81b59b236e8c5c5db
parent6170b2536325f824998b0e4a2ade31e58d3b7fb5
openssl-compat: Update to 1.0.2q

  *) Microarchitecture timing vulnerability in ECC scalar multiplication

     OpenSSL ECC scalar multiplication, used in e.g. ECDSA and ECDH, has been
     shown to be vulnerable to a microarchitecture timing side channel attack.
     An attacker with sufficient access to mount local timing attacks during
     ECDSA signature generation could recover the private key.

     This issue was reported to OpenSSL on 26th October 2018 by Alejandro
     Cabrera Aldaya, Billy Brumley, Sohaib ul Hassan, Cesar Pereida Garcia and
     Nicola Tuveri.
     (CVE-2018-5407)
     [Billy Brumley]

  *) Timing vulnerability in DSA signature generation

     The OpenSSL DSA signature algorithm has been shown to be vulnerable to a
     timing side channel attack. An attacker could use variations in the signing
     algorithm to recover the private key.

     This issue was reported to OpenSSL on 16th October 2018 by Samuel Weiser.
     (CVE-2018-0734)
     [Paul Dale]

  *) Resolve a compatibility issue in EC_GROUP handling with the FIPS Object
     Module, accidentally introduced while backporting security fixes from the
     development branch and hindering the use of ECC in FIPS mode.
     [Nicola Tuveri]

Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
lfs/openssl-compat