セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2622-1 polarssl

Debian セキュリティ勧告

DSA-2622-1 polarssl -- 複数の脆弱性

報告日時:

2013-02-13

影響を受けるパッケージ:

polarssl

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 699887.
Mitre の CVE 辞書: CVE-2013-0169, CVE-2013-1621, CVE-2013-1622.

詳細:

複数の脆弱性が PolarSSL に見つかりました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

• CVE-2013-0169

  タイミングサイドチャンネル (timing side channel) 攻撃が CBC パディングに見つかりました。 細工したパッケージの統計的分析を通して、平文の文字列復元を攻撃者に許します。 これは「Lucky Thirteen」問題とも呼ばれています。

• CVE-2013-1621

  配列索引の誤りにより、TLS セッションでの CBC パディング検証中に、細工したパディング長の値を保持するベクトルを経由して、 リモートの攻撃者にサービス拒否を許す可能性があります。

• CVE-2013-1622

  TLS セッションでの異常な CBC データにより、 細工したパケットについてタイミングサイドチャンネルを統計的に分析することによる特徴識別 (distinguishing) 攻撃をリモートの攻撃者に許す可能性があります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 0.12.1-1squeeze1 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) および不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.1.4-2 で修正されています。

直ちに polarssl パッケージをアップグレードすることを勧めます。