Debians sikkerhedsbulletin

DSA-2763-1 pyopenssl -- omgåelse af kontrol af værtsnavn

Rapporteret den:
24. sep 2013
Berørte pakker:
pyopenssl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 722055.
I Mitres CVE-ordbog: CVE-2013-4314.
Yderligere oplysninger:

Man opdagede at PyOpenSSL, en Python-wrapper om OpenSSL-biblioteket, ikke på korrekt vis håndterede certifikater med NULL-tegn i feltet Subject Alternative Name.

En fjernangriber med mulighed for at få fat i et certifikat til www.foo.org\0.example.com fra en CA, som en SSL-klient har tillid til, kunne udnytte fejlen til at udgive sig for at være www.foo.org og iværksætte manden i midten-angreb mellem klienten, der anvender PyOpenSSL, og SSL-serveren.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 0.10-1+squeeze1.

I den stabile distribution (wheezy), er dette problem rettet i version 0.13-2+deb7u1.

I den ustabile distribution (sid), er dette problem rettet i version 0.13-2.1.

Vi anbefaler at du opgraderer dine pyopenssl-pakker.