Debians sikkerhedsbulletin

DSA-1195-1 openssl096 -- lammelsesangreb (flere)

Rapporteret den:
10. okt 2006
Berørte pakker:
openssl096
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2006-2940, CVE-2006-3738, CVE-2006-4343.
Yderligere oplysninger:

Flere sårbarheder er opdaget i OpenSSL-kryptografipakken, hvilket kunne give en angriber mulighed for at iværksætte et lammelsesangreb (denial of service) ved at opbruge systemressourcer eller få processer på offerets maskine til at gå ned.

  • CVE-2006-3738

    Tavis Ormandy og Will Drewry fra Google Security Team har opdaget et bufferoverløb i værktøjsfunktionen SSL_get_shared_ciphers, der anvendes af applikationer som exim og mysql. En angriber kunne sende en liste over koder (ciphers), hvilket fik en buffer til at løbe over.

  • CVE-2006-4343

    Tavis Ormandy og Will Drewry fra Google Security Team har opdaget et muligt lammelsesangreb (DoS) i sslv2-klientkoden. Hvor en klientapplikation anvender OpenSSL til at etablere en SSLv2-forbindelse til en ondsindet server, kunne denne server få klienten til at gå ned.

  • CVE-2006-2940

    Dr S N Henson fra OpenSSL's kerneteam og Open Network Security udviklede for nylig en ANS1-testsuite for NISCC (www.niscc.gov.uk). Da testsuiden blev kørt mod OpenSSL blev et lammelsesangreb opdaget.

    Visse former for offentlige nøgler kunne tage uforholdsmæssig lang tid at behandle, hvilket kunne benyttes af en angriber i et lammelsesangreb.

I den stabile distribution (sarge) er disse problemer rettet i version 0.9.6m-1sarge4.

Denne pakke findes kun af hensyn til kompatibilitet med ældre programmer, og findes ikke i Debians ustabile eller testing-distributioner.

Vi anbefaler at du opgraderer din openssl096-pakke. Bemærk at serviceprogrammer der linker mod delte openssl-biblioteker skal genstartes. Typiske eksempler på sådanne serviceprogrammer er for eksempel de flete mailserverprogrammer, SSH-servere og webservere.

Rettet i:

Debian GNU/Linux 3.1 (sarge)

Kildekode:
http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m-1sarge4.diff.gz
http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m.orig.tar.gz
http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m-1sarge4.dsc
Alpha:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_m68k.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.