Debian dla-4049：librust-openssl-dev - 安全更新

medium Nessus 插件 ID 216047

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

远程 Debian 11 主机上安装的一个程序包受到 dla-4049 公告中提及的一个漏洞影响。

- ------------------------------------------------------------------------- Debian LTS 公告 DLA-4049-1 [email protected] https://www.debian.org/lts/security/Andrej Shadura 2025 年 2 月 11 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

程序包：rust-openssl 版本：0.10.29-1+deb11u1 CVE ID：CVE-2025-24898

在 rust-openssl（Rust 编程语言的一组 OpenSSL 绑定）中发现一个漏洞。

在受影响的版本中，ssl::select_next_proto 可以返回指向服务器参数缓冲区的切片，但其生命周期与客户端参数绑定。如果服务器缓冲区的生存期短于客户端缓冲区的生存期，这可能会导致释放后使用。

这可造成服务器崩溃或将任意内存内容返回到客户端。此安全更新修复了 ssl::select_next_proto 的签名，以正确地将输出缓冲区的生存期限制为两个输入缓冲区的生存期。在传递给 SslContextBuilder::set_alpn_select_callback 的回调中的 ssl::select_next_proto 的标准用法中，只有在回调中构造服务器缓冲区时，代码才会受到影响。

对于 Debian 11 bullseye，已在 0.10.29-1+deb11u1 版本中修复此问题。

我们建议您升级 rust-openssl 程序包。

如需了解 rust-openssl 的详细安全状态，请参阅其安全跟踪页面：
https://security-tracker.debian.org/tracker/rust-openssl

有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTS

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。