Рекомендация Debian по безопасности

DSA-2763-1 pyopenssl -- обход проверки имени узла

Дата сообщения:
24.09.2013
Затронутые пакеты:
pyopenssl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 722055.
В каталоге Mitre CVE: CVE-2013-4314.
Более подробная информация:

Было обнаружено, что PyOpenSSL, обёртка на Python для библиоткеи OpenSSL, неправильно обрабатывает сертификаты с символами NULL в поле Subject Alternative Name.

Удалённый атакующий, могущий получить сертификат для 'www.foo.org\0.example.com' от CA, которому SSL клиент доверяет, может использовать его для подделки www.foo.org и осуществить атаку человек-в-середине между клиентом, использующим PyOpenSSL и сервером SSL.

В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в версии 0.10-1+squeeze1.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 0.13-2+deb7u1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 0.13-2.1.

Мы рекомендуем вам обновить ваши пакеты pyopenssl.