Debians sikkerhedsbulletin

DSA-2622-1 polarssl -- flere sårbarheder

Rapporteret den:
13. feb 2013
Berørte pakker:
polarssl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 699887.
I Mitres CVE-ordbog: CVE-2013-0169, CVE-2013-1621, CVE-2013-1622.
Yderligere oplysninger:

Flere sårbarheder blev fundet i PolarSSL. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2013-0169

    Der blev fundet et timingsidekanalsangreb i CBC-padding, som gjorde det muligt for en angriber at få fat i dele af klartekst gennem statistisk analyse af fabrikerede pakker, kendt som Lucky Thirteen-problemet (heldige tretten-problemet).

  • CVE-2013-1621

    En arrayindekseringsfejl kunne måske gøre det muligt for fjernangribere at forårsage lammelsesangreb ved hjælp af angrebsvinkler, der involverer en fabrikeret paddinglængdeværdi under validering af CBC-padding i en TLS-session.

  • CVE-2013-1622

    Misdannede CBC-data i en TLS-session kunne gøre det muligt for fjernangribere at gennemføre kendetegnsangreb ved hjælp af statistisk analyse af timingsidekanalsdata til fabrikerede pakker.

I den stabile distribution (squeeze), er disse problemer rettet i version 0.12.1-1squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er disse problemer rettet i version 1.1.4-2.

Vi anbefaler at du opgraderer dine polarssl-pakker.