Säkerhetsbulletin från Debian
DSA-1185-2 openssl -- överbelastningsattack
- Rapporterat den:
- 2006-09-28
- Berörda paket:
- openssl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2006-2940, CVE-2006-3738, CVE-2006-4343, CVE-2006-2937.
- Ytterligare information:
-
Rättelsen som skulle korrigera CVE-2006-2940 introducerade kod som kunde leda till att oinitierat minne användes. När sådant används kan programmet som använder openssl-biblioteket krascha, och kan möjligen göra det möjligt för en angripare att exekvera godtycklig kod. Texten från originalbulletinen följer nedan:
Flera sårbarheter har upptäckts i kryptografipaketet OpenSSL, vilket kunde göra det möjligt för en angripare att utföra en överbelastningsattack genom att ta upp alla systemresurser eller krascha processer på offrets maskin.
- CVE-2006-2937
Dr S N Henson från OpenSSL:s kärngrupp och Open Network Security utvecklade nyligen en ASN1-testsvit för NISCC (www.niscc.gov.uk). När testsviten kördes mot OpenSSL upptäcktes två sårbarheter som kunde utnyttjas till överbelastningsattacker.
Vid parsning av vissa ogiltiga ASN1-strukturer hanterades en felkod på fel sätt. Detta kunde leda till en oändlig slinga vilken tog upp systemminne.
All kod som använder OpenSSL för att tolka ASN1-data från obetrodda källor påverkas. Detta gäller bland annat SSL-servrar som aktiverar klientautentisering samt S/MIME-program.
- CVE-2006-3738
Tavis Ormandy och Will Drewry från Googles säkerhetsgrupp upptäckte ett buffertspill i funktionen SSL_get_shared_ciphers, vilken används av flera program, till exempel exim och mysql. En angripare kunde sända en lista med chiffer som spillde en buffert.
- CVE-2006-4343
Tavis Ormandy och Will Drewry från Googles säkerhetsgrupp upptäckte en möjlighet till överbelastningsattack i sslv2-klientkoden. När ett klientprogram använde OpenSSL för att öppna en SSLv2-anslutning till en elakartad server kunde den servern få klienten att krascha.
- CVE-2006-2940
Dr S N Henson från OpenSSL:s kärngrupp och Open Network Security utvecklade nyligen en ASN1-testsvit för NISCC (www.niscc.gov.uk). När testsviten kördes mot OpenSSL upptäcktes en möjlighet till överbelastningsattack.
Vissa sorters öppna nycklar kunde ta oproportionella mängder tid att behandla. Detta kunde utnyttjas av en angripare för att utföra en överbelastningsattack.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 0.9.7e-3sarge4.
För den instabila utgåvan och uttestningsutgåven (Sid respektive Etch) kommer dessa problem att rättas i version 0.9.7k-3 av openssl097-kompatibilitetsbiblioteken samt i version 0.9.8c-3 av openssl-paketet.
Vi rekommenderar att ni uppgraderar ert openssl-paket. Observera att tjänster som länkar mot de delade openssl-biblioteken måste startas om. Detta gäller bland annat de flesta e-postserverprogramvaror, SSH-servrar och webbservrar.
- CVE-2006-2937
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4.dsc
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4.diff.gz
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_alpha.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_alpha.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_alpha.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_amd64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_amd64.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_amd64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_arm.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_arm.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_arm.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_arm.deb
- HPPA:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_hppa.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_hppa.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_hppa.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_i386.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_i386.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_i386.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_ia64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_ia64.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_ia64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_m68k.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_m68k.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_m68k.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_mips.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mips.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_mips.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_mipsel.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mipsel.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_mipsel.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_powerpc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_powerpc.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_powerpc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_s390.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_s390.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_s390.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_sparc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_sparc.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_sparc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.
MD5-kontrollsummor för dessa filer finns i reviderade bulletinen.