Säkerhetsinformation / 2003 / Säkerhetsinformation -- DSA-288-1 openssl

Säkerhetsbulletin från Debian

DSA-288-1 openssl -- flera sårbarheter

Rapporterat den:

2003-04-17

Berörda paket:

openssl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 7101, BugTraq-id 7148.
I Mitres CVE-förteckning: CVE-2003-0147, CVE-2003-0131.
CERTs information om sårbarheter, bulletiner och incidenter: VU#888801.

Ytterligare information:

Forskare upptäckte två fel i OpenSSL, ett bibliotek för Secure Socket Layer (SSL) och relaterade kryptografiska verktyg. Program som länkats mot detta bibliotek är generellt sårbara för angrepp som kunde läcka serverns privata nyckel eller göra det möjligt att på annat sätt avkoda den krypterade sessionen. Projektet Common Vulnerabilities and Exposures (CVE) identifierar följande sårbarheter:

CAN-2003-0147

OpenSSL använder inte som standard ”RSA blinding”, vilket gör det möjligt för angripare inifrån och utifrån att få tillgång till serverns privata nyckel.

CAN-2003-0131

SSL tillåter angripare utifrån att utföra en oauktoriserad operation med den hemliga RSA-nyckeln vilket fick OpenSSL att läcka information om sambandet mellan krypterat data och motsvarande klartext.

För den stabila utgåvan (Woody) har dessa problem rättats i version 0.9.6c-2.woody.3.

För den gamla stabila utgåvan (Potato) har dessa problem rättats i version 0.9.6c-0.potato.6.

För den instabila utgåvan (Sid) har dessa problem rättats i version 0.9.7b-1 av openssl och version 0.9.6j-1 av openssl096.

Vi rekommenderar att ni uppgraderar era openssl-paket omedelbart och startar om de program som använder OpenSSL.

Tyvärr är inte ”RSA blinding” trådsäkert och kommer få program som använder program som använder trådar och OpenSSL att sluta fungera, såsom stunnel. Tyvärr skulle den rättelse som föreslås ändra det binära gränssnittet (ABI), vilket skulle få program som länkas dynamiskt mot OpenSSL att inte längre köra. Detta är ett problem vi inte kan lösa.

Du måste välja om du vill ha säkerhetsuppdateringen som inte är trådsäker och kompilera om alla program som uppenbarligen slutar fungera efter uppgraderingen, eller hämta de källkodspaket som beskrivs i slutet av bulletinen, kompilera om dem för att använda ett trådsäkert OpenSSL-bibliotek och sedan kompilera om alla program som använder det (som apache-ssl, mod-ssl, ssh osv.).

Eftersom mycket få paket faktiskt använder trådar och länkar mot OpenSSL-biblioteket kommer de allra flesta att kunna använda paketen från denna uppdatering utan problem.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.6.dsc

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.6.diff.gz

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c.orig.tar.gz

Arkitekturoberoende komponent:

http://security.debian.org/pool/updates/main/o/openssl/ssleay_0.9.6c-0.potato.6_all.deb

Alpha:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.6_alpha.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.6_alpha.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.6_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.6_arm.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.6_arm.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.6_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.6_i386.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.6_i386.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.6_i386.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.6_m68k.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.6_m68k.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.6_m68k.deb

PowerPC:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.6_powerpc.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.6_powerpc.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.6_powerpc.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.6_sparc.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.6_sparc.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.6_sparc.deb

Debian GNU/Linux 3.0 (woody)

Källkod:

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.3.dsc

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.3.diff.gz

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c.orig.tar.gz

Arkitekturoberoende komponent:

http://security.debian.org/pool/updates/main/o/openssl/ssleay_0.9.6c-2.woody.3_all.deb

Alpha:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.3_alpha.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.3_alpha.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.3_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.3_arm.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.3_arm.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.3_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.3_i386.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.3_i386.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.3_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.3_ia64.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.3_ia64.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.3_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.3_hppa.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.3_hppa.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.3_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.3_m68k.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.3_m68k.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.3_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.3_mips.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.3_mips.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.3_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.3_mipsel.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.3_mipsel.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.3_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.3_powerpc.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.3_powerpc.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.3_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.3_s390.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.3_s390.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.3_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.3_sparc.deb

http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.3_sparc.deb

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.3_sparc.deb

Debian GNU/Linux 2.2 (potato)

http://master.debian.org/~joey/NMU/openssl_0.9.6c-0.potato.7.dsc

http://master.debian.org/~joey/NMU/openssl_0.9.6c-0.potato.7.diff.gz

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c.orig.tar.gz

http://master.debian.org/~joey/NMU/openssl_0.9.6c-0.potato.7.patch

Debian GNU/Linux 3.0 (woody)

http://master.debian.org/~joey/NMU/openssl_0.9.6c-2.woody.4.dsc

http://master.debian.org/~joey/NMU/openssl_0.9.6c-2.woody.4.diff.gz

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c.orig.tar.gz

http://master.debian.org/~joey/NMU/openssl_0.9.6c-2.woody.4.patch

MD5-kontrollsummor för dessa filer finns i originalbulletinen.