Debian-Sicherheitsankündigung
DSA-1185-2 openssl -- Diensteverweigerung
- Datum des Berichts:
- 28. Sep 2006
- Betroffene Pakete:
- openssl
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2006-2940, CVE-2006-3738, CVE-2006-4343, CVE-2006-2937.
- Weitere Informationen:
-
Die Korrektur zum Berichtigen von CVE-2006-2940 fügte Code ein, der zur Verwendung nichtinitialisierten Speichers führen kann. Eine solche Verwendung führt wahrscheinlich die Anwendung, die die OpenSSL-Bibliothek verwendet, zum Absturz und hat die Möglichkeit einem Angreifer zu erlauben, die Ausführung beliebigen Codes zu ermöglichen. Zur Referenz finden Sie unten den ursprünglichen Text der Ankündigung:
Mehrere Verwundbarkeiten wurden im kryptographischen Software-Paket OpenSSL entdeckt, die es einem Angreifer erlauben könnten, einen Angriff mit einer Diensteverweigerung (
denial of service
) zu starten, um Systemressourcen auszuschöpfen oder Prozesse auf den Computern von Feinden zum Absturz zu bringen.- CVE-2006-2937
Dr S N Henson des OpenSSL-Kernteams und Open Network Security entwickelten kürzlich eine ASN1-Test-Suite für NISCC (www.niscc.gov.uk). Falls die Test-Suite gegen OpenSSL lief, wurden zwei Diensteverweigerungen aufgedeckt.
Beim Durchlaufen bestimmter ungültiger ASN1-Strukturen wird eine Fehlerbedingung falsch ausgewertet. Dies kann zu einer unendlichen Schleife führen, die Systemspeicher verwendet.
Jeder Code der OpenSSL verwendet, um ASN1-Daten aus nichtvertrauenswürdigen Quellen zu durchlaufen, ist betroffen. Dies enthält SSL-Server, die Client-Authentifizierung aktivieren, und S/MIME-Anwendungen.
- CVE-2006-3738
Tavis Ormandy und Will Drewry des Google-Sicherheitsteams entdeckten einen Pufferüberlauf in der Hilfsfunktion SSL_get_shared_ciphers, die von einigen Anwendungen wie exim und mysql verwendet wird. Ein Angreifer kann eine Verschlüsselungsliste senden, die einen Puffer überlaufen lässt.
- CVE-2006-4343
Tavis Ormandy und Will Drewry des Google-Sicherheitsteams entdeckten eine mögliche Diensteverweigerung im Client-Code von sslv2. Wenn eine Client-Anwendung, die OpenSSL verwendet, eine SSLv2-Verbindung zu einem bösartigen Server aufbaut, könnte dieser Server den Client zum Absturz bringen.
- CVE-2006-2940
Dr S N Henson des OpenSSL-Kernteams und Open Network Security entwickelten kürzlich eine ASN1-Test-Suite für NISCC (www.niscc.gov.uk). Falls die Test-Suite gegen OpenSSL lief, wurde eine Diensteverweigerung aufgedeckt.
Bestimmte Arten öffentlicher Schlüssel können eine unverhältnismäßig große Menge an Prozesszeit verwenden. Dies könnte von einem Angreifer zu einem Diensteverweigerungsangriff verwendet werden.
Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 0.9.7e-3sarge4 behoben.
Für die Unstable- und Testing-Distribution (Sid bzw. Etch) werden diese Probleme in Version 0.9.7k-3 der OpenSSL097-Kompatibilitätsbibliotheken und Version 0.9.8c-3 des OpenSSL-Pakets behoben.
Wir empfehlen Ihnen, Ihr openssl-Paket zu aktualisieren. Beachten Sie, dass Dienste, die gegen die OpenSSL-Laufzeitbibliotheken gelinkt sind, neu gestartet werden müssen. Typische Beispiele für diese Dienste sind die meisten E-Mail-Transport-Agenten, SSH- und Web-Server.
- CVE-2006-2937
- Behoben in:
-
Debian GNU/Linux 3.1 (sarge)
- Quellcode:
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4.dsc
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4.diff.gz
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_alpha.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_alpha.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_alpha.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_amd64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_amd64.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_amd64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_arm.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_arm.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_arm.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_arm.deb
- HPPA:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_hppa.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_hppa.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_hppa.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_i386.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_i386.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_i386.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_ia64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_ia64.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_ia64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_m68k.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_m68k.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_m68k.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_mips.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mips.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_mips.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_mipsel.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mipsel.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_mipsel.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_powerpc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_powerpc.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_powerpc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_s390.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_s390.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_s390.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_sparc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_sparc.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_sparc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.
MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.