Рекомендация Debian по безопасности

DSA-1946-1 belpic -- слабое шифрование

Дата сообщения:

04.12.2009

Затронутые пакеты:

belpic

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 511261.
В каталоге Mitre CVE: CVE-2009-0049.

Более подробная информация:

Было обнаружено, что belpic, библиотека поддержки бельгийских eID в PKCS11, неправильно выполняет проверку вывода функции OpenSSL, проверяющей подписи, что может использоваться для обхода проверки сертификата.

В предыдущем стабильном выпуске (etch) эта проблема была исправлена в версии 2.5.9-7.etch.1.

В стабильном выпуске (lenny) эта проблема была исправлена в версии 2.6.0-6, которая уже добавлена в выпуск lenny.

В тестируемом (squeeze) и нестабильном (sid) выпусках эта проблема была исправлена в версии 2.6.0-6.

Рекомендуется обновить пакеты belpic.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:: http://security.debian.org/pool/updates/main/b/belpic/belpic_2.5.9-7.etch.1.diff.gz; http://security.debian.org/pool/updates/main/b/belpic/belpic_2.5.9-7.etch.1.dsc; http://security.debian.org/pool/updates/main/b/belpic/belpic_2.5.9.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/b/belpic/libbeid2-dev_2.5.9-7.etch.1_alpha.deb; http://security.debian.org/pool/updates/main/b/belpic/beid-tools_2.5.9-7.etch.1_alpha.deb; http://security.debian.org/pool/updates/main/b/belpic/beidgui_2.5.9-7.etch.1_alpha.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2_2.5.9-7.etch.1_alpha.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeid2_2.5.9-7.etch.1_alpha.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2-dev_2.5.9-7.etch.1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/b/belpic/beid-tools_2.5.9-7.etch.1_amd64.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeid2_2.5.9-7.etch.1_amd64.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeid2-dev_2.5.9-7.etch.1_amd64.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2_2.5.9-7.etch.1_amd64.deb; http://security.debian.org/pool/updates/main/b/belpic/beidgui_2.5.9-7.etch.1_amd64.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2-dev_2.5.9-7.etch.1_amd64.deb
HP Precision:: http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2-dev_2.5.9-7.etch.1_hppa.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2_2.5.9-7.etch.1_hppa.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeid2_2.5.9-7.etch.1_hppa.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeid2-dev_2.5.9-7.etch.1_hppa.deb; http://security.debian.org/pool/updates/main/b/belpic/beidgui_2.5.9-7.etch.1_hppa.deb; http://security.debian.org/pool/updates/main/b/belpic/beid-tools_2.5.9-7.etch.1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/b/belpic/libbeid2_2.5.9-7.etch.1_i386.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2_2.5.9-7.etch.1_i386.deb; http://security.debian.org/pool/updates/main/b/belpic/beid-tools_2.5.9-7.etch.1_i386.deb; http://security.debian.org/pool/updates/main/b/belpic/beidgui_2.5.9-7.etch.1_i386.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2-dev_2.5.9-7.etch.1_i386.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeid2-dev_2.5.9-7.etch.1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/b/belpic/libbeid2-dev_2.5.9-7.etch.1_ia64.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2-dev_2.5.9-7.etch.1_ia64.deb; http://security.debian.org/pool/updates/main/b/belpic/beid-tools_2.5.9-7.etch.1_ia64.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2_2.5.9-7.etch.1_ia64.deb; http://security.debian.org/pool/updates/main/b/belpic/beidgui_2.5.9-7.etch.1_ia64.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeid2_2.5.9-7.etch.1_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/b/belpic/beid-tools_2.5.9-7.etch.1_mips.deb; http://security.debian.org/pool/updates/main/b/belpic/beidgui_2.5.9-7.etch.1_mips.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeid2-dev_2.5.9-7.etch.1_mips.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeid2_2.5.9-7.etch.1_mips.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2_2.5.9-7.etch.1_mips.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2-dev_2.5.9-7.etch.1_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/b/belpic/libbeid2_2.5.9-7.etch.1_mipsel.deb; http://security.debian.org/pool/updates/main/b/belpic/beid-tools_2.5.9-7.etch.1_mipsel.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeid2-dev_2.5.9-7.etch.1_mipsel.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2_2.5.9-7.etch.1_mipsel.deb; http://security.debian.org/pool/updates/main/b/belpic/beidgui_2.5.9-7.etch.1_mipsel.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2-dev_2.5.9-7.etch.1_mipsel.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2_2.5.9-7.etch.1_sparc.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeid2_2.5.9-7.etch.1_sparc.deb; http://security.debian.org/pool/updates/main/b/belpic/beid-tools_2.5.9-7.etch.1_sparc.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeid2-dev_2.5.9-7.etch.1_sparc.deb; http://security.debian.org/pool/updates/main/b/belpic/beidgui_2.5.9-7.etch.1_sparc.deb; http://security.debian.org/pool/updates/main/b/belpic/libbeidlibopensc2-dev_2.5.9-7.etch.1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.