Säkerhetsbulletin från Debian
DSA-2622-1 polarssl -- flera sårbarheter
- Rapporterat den:
- 2013-02-13
- Berörda paket:
- polarssl
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 699887.
I Mitres CVE-förteckning: CVE-2013-0169, CVE-2013-1621, CVE-2013-1622. - Ytterligare information:
-
Flera sårbarheter har hittats i PolarSSL. Projektet Common Vulnerabilities and Exposures har registrerat följande problem:
- CVE-2013-0169
Ett timingsidokanalsangrepp i CBC-padding har hittats, som gjorde det möjligt för en angripare att få fatt i delar av klartext genom statistisk analys av fabricerade paket, även känt som
Lucky Thirteen
problemet (Tursamma tretton
-problemet). - CVE-2013-1621
Ett arrayindexeringsfel kan möjligen tillåta fjärrangripare att orsaka en överbelastningsattack via vektorer som involverar ett fabricerat paddinglängdsvärde under validering av CBC-padding i en TLS-session.
- CVE-2013-1622
Missformad CBC-data i en TLS-session kunde tillåta fjärrangripare att genomföra särskiljande attacker via statistisk analys av timingsidokanalsdata för fabricerade paket.
För den stabila utgåvan (squeeze) har dessa problem rättats i version 0.12.1-1squeeze1.
För uttestningsutgåvan (wheezy), and the instabila utgåvan (Sid) har dessa problem rättats i version 1.1.4-2.
Vi rekommenderar att ni uppgraderar era polarssl-paket.
- CVE-2013-0169