Рекомендация Debian по безопасности

DSA-394-1 openssl095 -- уязвимость разбора ASN.1

Дата сообщения:

11.10.2003

Затронутые пакеты:

Уязвим:

Да

Ссылки на базы данных по безопасности:

В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 8732.
В каталоге Mitre CVE: CVE-2003-0543, CVE-2003-0544, CVE-2003-0545.

Более подробная информация:

Стив Хенсон (Steve Henson) из основной команды OpenSSL идентифицировал несколько уязвимостей в коде разбора ASN1 OpenSSL и подготовил их исправления. Уязвимости были обнаружены при выполнении тестов инструментария, разработанного Британским национальным центром координации инфраструктуры безопасности (British National Infrastructure Security Coordination Centre, NISCC).

Также идентифицирована ошибка в реализации протоколов SSL/TLS, приводящая к тому, что OpenSSL анализирует сертификат клиента SSL/TLS даже в случаях, когда он должен быть отвергнут из-за ошибки протокола.

Проект Common Vulnerabilities and Exposures идентифицировал следующие проблемы:

CAN-2003-0543:
Выход за границы допустимых целочисленных значений в OpenSSL, позволяющий удалённому нападающему вызвать отказ в обслуживании (обвал) посредством сертификата клиента SSL с определёнными значениями тегов ASN.1.
CAN-2003-0544:
OpenSSL неправильно отслеживает числа символов в некоторых входных текстах ASN.1, что позволяет удалённому нападающему вызвать отказ в обслуживании (обвал) посредством сертификата клиента SSL, заставляющего OpenSSL пытаться читать информацию за пределами буфера при использовании длинной формы.
CAN-2003-0545:
Двукратное освобождение памяти позволяет удалённому нападающему вызвать отказ в обслуживании (обвал) и, возможно, выполнить произвольный код посредством сертификата клиента SSL с определённой неправильной кодировкой ASN.1. Эта ошибка присутствует только в OpenSSL 0.9.7 и перечислена здесь только для информации.

В стабильном дистрибутиве (woody) эта проблема исправлена в пакете openssl095 версии 0.9.5a-6.woody.3.

Этот пакет отсутствует в нестабильном (sid) и тестируемом (sarge) дистрибутивах.

Мы рекомендуем вам обновить пакеты libssl095a и перезапустить серверы, использующие эту библиотеку. Debian не содержит пакетов, скомпонованных с этой библиотекой.

Следующие команды (спасибо за предоставленную информацию Рэю Дэссену (Ray Dassen)) позволять получить список запущенных процессов, в адресное пространство которых отображается библиотека libssl095:

    find /proc -name maps -exec egrep -l 'libssl095' {} /dev/null \; | sed -e 's/[^0-9]//g' | xargs --no-run-if-empty ps --no-headers -p | sed -e 's/^\+//' -e 's/ \+/ /g' | cut -d ' ' -f 5 | sort | uniq

Вам следует перезапустить соответствующие серверы.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:: http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.3.dsc; http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.3.diff.gz; http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.