Debian-Sicherheitsankündigung

DSA-1195-1 openssl096 -- Diensteverweigerung (mehrere)

Datum des Berichts:
10. Okt 2006
Betroffene Pakete:
openssl096
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2006-2940, CVE-2006-3738, CVE-2006-4343.
Weitere Informationen:

Mehrere Verwundbarkeiten wurden im kryptographischen Software-Paket OpenSSL entdeckt, die es einem Angreifer erlauben könnten, einen Angriff mit einer Diensteverweigerung (denial of service) zu starten, um Systemressourcen auszuschöpfen oder Prozesse auf den Computern von Feinden zum Absturz zu bringen.

  • CVE-2006-3738

    Tavis Ormandy und Will Drewry des Google-Sicherheitsteams entdeckten einen Pufferüberlauf in der Hilfsfunktion SSL_get_shared_ciphers, die von einigen Anwendungen wie exim und mysql verwendet wird. Ein Angreifer kann eine Verschlüsselungsliste senden, die einen Puffer überlaufen lässt.

  • CVE-2006-4343

    Tavis Ormandy und Will Drewry des Google-Sicherheitsteams entdeckten eine mögliche Diensteverweigerung im Client-Code von sslv2. Wenn eine Client-Anwendung, die OpenSSL verwendet, eine SSLv2-Verbindung zu einem bösartigen Server aufbaut, könnte dieser Server den Client zum Absturz bringen.

  • CVE-2006-2940

    Dr S N Henson des OpenSSL-Kernteams und Open Network Security entwickelten kürzlich eine ASN1-Test-Suite für NISCC (www.niscc.gov.uk). Falls die Test-Suite gegen OpenSSL lief, wurde eine Diensteverweigerung aufgedeckt.

    Bestimmte Arten öffentlicher Schlüssel können eine unverhältnismäßig große Menge an Prozesszeit verwenden. Dies könnte von einem Angreifer zu einem Diensteverweigerungsangriff verwendet werden.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 0.9.6m-1sarge4 behoben.

Dieses Paket existiert nur zur Kompatibilität mit älterer Software und ist nicht in den Unstable- oder Testing-Zweigen von Debian vorhanden.

Wir empfehlen Ihnen, Ihr openssl096-Paket zu aktualisieren. Beachten Sie, dass Dienste, die gegen die OpenSSL-Laufzeitbibliotheken gelinkt sind, neu gestartet werden müssen. Typische Beispiele für diese Dienste sind die meisten E-Mail-Transport-Agenten, SSH- und Web-Server.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m-1sarge4.diff.gz
http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m.orig.tar.gz
http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m-1sarge4.dsc
Alpha:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_m68k.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.