Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2622-1 polarssl

Debians sikkerhedsbulletin

DSA-2622-1 polarssl -- flere sårbarheder

Rapporteret den:

13. feb 2013

Berørte pakker:

polarssl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 699887.
I Mitres CVE-ordbog: CVE-2013-0169, CVE-2013-1621, CVE-2013-1622.

Yderligere oplysninger:

Flere sårbarheder blev fundet i PolarSSL. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2013-0169

  Der blev fundet et timingsidekanalsangreb i CBC-padding, som gjorde det muligt for en angriber at få fat i dele af klartekst gennem statistisk analyse af fabrikerede pakker, kendt som Lucky Thirteen-problemet (heldige tretten-problemet).

• CVE-2013-1621

  En arrayindekseringsfejl kunne måske gøre det muligt for fjernangribere at forårsage lammelsesangreb ved hjælp af angrebsvinkler, der involverer en fabrikeret paddinglængdeværdi under validering af CBC-padding i en TLS-session.

• CVE-2013-1622

  Misdannede CBC-data i en TLS-session kunne gøre det muligt for fjernangribere at gennemføre kendetegnsangreb ved hjælp af statistisk analyse af timingsidekanalsdata til fabrikerede pakker.

I den stabile distribution (squeeze), er disse problemer rettet i version 0.12.1-1squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er disse problemer rettet i version 1.1.4-2.

Vi anbefaler at du opgraderer dine polarssl-pakker.