Debians sikkerhedsbulletin
DSA-2621-1 openssl -- flere sårbarheder
- Rapporteret den:
- 13. feb 2013
- Berørte pakker:
- openssl
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 699889.
I Mitres CVE-ordbog: CVE-2013-0166, CVE-2013-0169. - Yderligere oplysninger:
-
Flere sårbarheder blev fundet i OpenSSL. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2013-0166
OpenSSL håndterede ikke på korrekt vis signaturvalidering ved OCSP-svar, hvilket gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (denial of service) ved hjælp af en ugyldig nøgle.
- CVE-2013-0169
Der blev fundet et timingsidekanalsangreb i CBC-padding, som gjorde det muligt for en angriber at få fat i dele af klartekst gennem statistisk analyse af fabrikerede pakker, kendt som
Lucky Thirteen
-problemet (heldige tretten
-problemet).
I den stabile distribution (squeeze), er disse problemer rettet i version 0.9.8o-4squeeze14.
I distributionen testing (wheezy), vil disse problemer snart blive rettet.
I den ustabile distribution (sid), er disse problemer rettet i version 1.0.1e-1.
Vi anbefaler at du opgraderer dine openssl-pakker.
- CVE-2013-0166