Debian Long Term Support / LTS Security Information / 2016 / Sikkerhedsoplysninger -- DLA-400-1 pound

Debians sikkerhedsbulletin

DLA-400-1 pound -- LTS-sikkerhedsopdatering

Rapporteret den:

24. jan 2016

Berørte pakker:

pound

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2009-3555, CVE-2011-3389, CVE-2012-4929, CVE-2014-3566.

Yderligere oplysninger:

Denne opdatering retter visse kendte sårbarheder i pound i squeeze-lts ved at tilbageføre versionen fra wheezy.

• CVE-2009-3555

  TLS-protokollen og SSL-protokol 3.0 samt muligvis tidligere, som anvendes i Microsoft Internet Information Services (IIS) 7.0, mod_ssl i Apache HTTP Server 2.2.14 og tidligere, OpenSSL før 0.9.8l, GnuTLS 2.8.5 og tidligere, Mozilla Network Security Services (NSS) 3.12.4 og tidligere, adskillige Cisco-produkter, samt andre produkter, tilknyttede ikke på korrekt vis genforhandlingshandshakes med en eksisterende forbindelse, hvilket gjorde det muligt for manden i midten-angribere at indsætte data i HTTPS-sessioner, og muligvis andre former for sessioner beskyttet af TLS eller SSL, ved at sende en uautentificeret forespørgsel, som behandles med tilbagevirkende kraft af en server i en efter genforhandlingskontekst med relation til et plaintext injection-angreb, alias Project Mogul-problemet.

• CVE-2011-3389

  SSL-protokollen, som anvendes i visse opsætninger i Microsoft Windows og Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, samt andre produkter, krypterer data ved at anvende CBC-tilstand med kædede initialiseringsvektorer, hvilket gjorde det muligt for manden i midten-angribere at fat i HTTP-headere i klartekst gennem et blokvist valgt-grænse-angreb (BCBA) på en HTTPS-session, i sammenhæng med JavaScript-kode, som anvender (1) HTML5 WebSocket API, (2) Java URLConnection API eller (3) Silverlight WebClient API, alias et BEAST-angreb.

• CVE-2012-4929

  TLS-protokol 1.2 og tidligere, som anvendes i Mozilla Firefox, Google Chrome, Qt og andre produkter, kunne kryptere komprimerede data uden på korrekt vis at gøre et forsøg på at skjule længden på de ukrypterede data, hvilket gjorde det muligt for manden i midten-angribere at få adgang til HTTP-headere i klartekst, ved at holde øje med længdeforskelle under en række gæt, i hvilke en streng i en HTTP-forespørgsel potentielt svarer til en ukendt streng i en HTTP-header, alias et CRIME-angreb.

• CVE-2014-3566

  SSL protocol 3.0, som anvendes i OpenSSL til og med 1.0.1i og i andre produkter, anvender ikke-deterministisk CBC-padding, hvilket gør det lettere for manden i midten-angribere at få adgang til data i klartekst gennem et padding-orakel-angreb, alias POODLE-problemet.