Aviso de seguridad de Debian
DSA-1185-2 openssl -- denegación de servicio
- Fecha del informe:
- 28 de sep de 2006
- Paquetes afectados:
- openssl
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2006-2940, CVE-2006-3738, CVE-2006-4343, CVE-2006-2937.
- Información adicional:
-
La corrección que se utilizó en CVE-2006-2940 introdujo código que podía conducir al uso de memoria no inicializada. Esto podía provocar la caída de la aplicación que utilizase la biblioteca openssl y, potencialmente, permitir que el atacante ejecutase código arbitrario. Como referencia, se reproduce a continuación el texto del aviso original:
Se han descubierto varias vulnerabilidades en el paquete de software criptográfico OpenSSL, que podían permitir que un atacante realizase un ataque de denegación de servicio por agotamiento de los recursos del sistema o por caída de procesos en el computador de la víctima.
- CVE-2006-2937
El Dr S N Henson, del equipo del núcleo de OpenSSL y Open Network Security desarrollaron recientemente una suite de pruebas ASN1 para NISCC (www.niscc.gov.uk). Cuando se hizo funcionar la suite de pruebas sobre OpenSSL, se descubrieron dos vulnerabilidades de servicio.
Durante el análisis de algunas estructuras ASN1 no válidas, no se gestionaba correctamente una condición de error. Esto podía provocar la entrada en un bucle infinito que consumiría la memoria del sistema.
Está afectado el código que utiliza OpenSSL para analizar los datos de ASN1 desde fuentes no fiables. En este caso se encuentran los servidores SSL que permiten la autenticación del cliente y las aplicaciones S/MIME.
- CVE-2006-3738
Tavis Ormandy y Will Drewry, del equipo de seguridad de Google, descubrieron un desbordamiento de búfer en la función SSL_get_shared_ciphers de las utilidades, que utilizan algunas aplicaciones como exim y mysql. Un atacante podría enviar una lista de cifras para desbordar un búfer.
CVE-2006-4343 Tavis Ormandy y Will Drewry, del equipo de seguridad de Google, descubrieron un posible ataque de denegación de servicio en el código del cliente sslv2. Cuando una aplicación cliente utilizaba OpenSSL para hacer una conexión SSLv2 con un servidor pernicioso, ese servidor podía provocar la caída del cliente.
- CVE-2006-2940
El Dr S N Henson, del equipo del núcleo de OpenSSL y Open Network Security desarrollaron recientemente una suite de pruebas ASN1 para NISCC (www.niscc.gov.uk). Cuando se hizo funcionar la suite de pruebas sobre OpenSSL, se descubrieron dos vulnerabilidades de servicio.
Algunos tipos de claves públicas podían necesitar un tiempo de proceso desproporcionado. Un atacante podía utilizar este hecho para realizar un ataque de denegación de servicio.
Para la distribición estable (sarge), estos problemas se han corregido en la versión 0.9.7e-3sarge4.
Para las distribuciones inestable y testing (sid y etch, respectivamente), estos problemas se corregirán en la versión 0.9.7k-3 de las bibliotecas de compatibilidad openssl097 y en la versión 0.9.8c-3 del paquete openssl.
Le recomendamos que actualice el paquete openssl. Tenga en cuenta que los servicios que están enlazados con las bibliotecas compartidas de openssl se tienen que reiniciar. Algunos ejemplos habituales de servicios de este tipo son los agentes de transporte de correo, los servidores SSH y los servidores web.
- CVE-2006-2937
- Arreglado en:
-
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4.dsc
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4.diff.gz
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_alpha.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_alpha.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_alpha.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_amd64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_amd64.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_amd64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_arm.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_arm.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_arm.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_arm.deb
- HPPA:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_hppa.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_hppa.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_hppa.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_i386.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_i386.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_i386.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_ia64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_ia64.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_ia64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_m68k.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_m68k.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_m68k.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_mips.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mips.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_mips.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_mipsel.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mipsel.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_mipsel.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_powerpc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_powerpc.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_powerpc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_s390.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_s390.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_s390.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_sparc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_sparc.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_sparc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.