Säkerhetsbulletin från Debian

DSA-2622-1 polarssl -- flera sårbarheter

Rapporterat den:
2013-02-13
Berörda paket:
polarssl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 699887.
I Mitres CVE-förteckning: CVE-2013-0169, CVE-2013-1621, CVE-2013-1622.
Ytterligare information:

Flera sårbarheter har hittats i PolarSSL. Projektet Common Vulnerabilities and Exposures har registrerat följande problem:

  • CVE-2013-0169

    Ett timingsidokanalsangrepp i CBC-padding har hittats, som gjorde det möjligt för en angripare att få fatt i delar av klartext genom statistisk analys av fabricerade paket, även känt som Lucky Thirteen problemet (Tursamma tretton-problemet).

  • CVE-2013-1621

    Ett arrayindexeringsfel kan möjligen tillåta fjärrangripare att orsaka en överbelastningsattack via vektorer som involverar ett fabricerat paddinglängdsvärde under validering av CBC-padding i en TLS-session.

  • CVE-2013-1622

    Missformad CBC-data i en TLS-session kunde tillåta fjärrangripare att genomföra särskiljande attacker via statistisk analys av timingsidokanalsdata för fabricerade paket.

För den stabila utgåvan (squeeze) har dessa problem rättats i version 0.12.1-1squeeze1.

För uttestningsutgåvan (wheezy), and the instabila utgåvan (Sid) har dessa problem rättats i version 1.1.4-2.

Vi rekommenderar att ni uppgraderar era polarssl-paket.