Debian セキュリティ勧告
DSA-2541-1 beaker -- 情報の漏洩
- 報告日時:
- 2012-09-07
- 影響を受けるパッケージ:
- beaker
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 684890.
Mitre の CVE 辞書: CVE-2012-3458. - 詳細:
-
Python のキャッシュとセッションのライブラリである Beaker は、後方処理に python-crypto を使うと AES 暗号を ECB モードで使う場合に関係する暗号学的な 弱点のせいで、情報漏洩の面で脆弱であることが判明しました。
python-pycryptopp パッケージも後方処理ですが、 python-crypto より優先して 使われるので、これを備えたシステムは脆弱ではないはずです。
本更新を適用した後は,現有のセッションが無効化されます。
安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 1.5.4-4+squeeze1 で修正されています。
テスト版 (wheezy) および不安定版 (sid) ディストリビューションでは、 これらの問題はバージョン 1.6.3-1.1 で修正されています。
直ぐに beaker パッケージをアップグレードすることを勧めます。