Säkerhetsbulletin från Debian

DSA-2782-1 polarssl -- flera sårbarheter

Rapporterat den:
2013-10-20
Berörda paket:
polarssl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-4623, CVE-2013-5914, CVE-2013-5915.
Ytterligare information:

Flera säkerhetsproblem har upptäckts i PolarSSL, ett lättviktigt crypto och SSL/TLS-bibliotek:

  • CVE-2013-4623

    Jacl Lloyd upptäckte en överbelastningssårbarhet i tolkningen av PEM-kodade certifikat.

  • CVE-2013-5914

    Paul Brodeur och TrustInSoft upptäckte ett buffertspill i funktionen ssl_read_record, som potentiellt tillät exekvering av godtycklig kod.

  • CVE-2013-5915

    Cyril Arnaud och Pierre-Alain Fouque upptäckte timing-angrepp mot RSA-implementationen.

För den gamla stabila utgåvan (Squeeze) kommer dessa problem att rättas i version 1.2.9-1~deb6u1 snart (på grund av tekniska begränsningar kan inte uppdateringarna släppas samtidigt).

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.2.9-1~deb7u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.3.1-1.

Vi rekommenderar att ni uppgraderar era polarssl-paket.