Säkerhetsbulletin från Debian
DSA-2621-1 openssl -- flera sårbarheter
- Rapporterat den:
- 2013-02-13
- Berörda paket:
- openssl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 699889.
I Mitres CVE-förteckning: CVE-2013-0166, CVE-2013-0169. - Ytterligare information:
-
Flera sårbarheter har hittats i OpenSSL. Common Vulnerabilities and Exposures-projektet identifierar följande problem:
- CVE-2013-0166
OpenSSL utför inte ordentlig signaturverifiering för OCSP-svar, vilket tillåter fjärrattackerare att orsaka en överbelastningsattack via en ogiltig nyckel.
- CVE-2013-0169
Ett timingsidokanalsangrepp i CBC-padding har hittats, som gjorde det möjligt för en angripare att få fatt i delar av klartext genom statistisk analys av fabricerade paket, även känt som
Lucky Thirteen
-problemet (Tursamma tretton
-problemet).
För den stabila utgåvan (squeeze) har dessa problem rättats i version 0.9.8o-4squeeze14.
För uttestningsutgåvan (wheezy) kommer dessa problem att rättas inom kort.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.0.1e-1.
Vi rekommenderar att ni uppgraderar era openssl-paket.
- CVE-2013-0166