Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2622-1 polarssl

Säkerhetsbulletin från Debian

DSA-2622-1 polarssl -- flera sårbarheter

Rapporterat den:

2013-02-13

Berörda paket:

polarssl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 699887.
I Mitres CVE-förteckning: CVE-2013-0169, CVE-2013-1621, CVE-2013-1622.

Ytterligare information:

Flera sårbarheter har hittats i PolarSSL. Projektet Common Vulnerabilities and Exposures har registrerat följande problem:

• CVE-2013-0169

  Ett timingsidokanalsangrepp i CBC-padding har hittats, som gjorde det möjligt för en angripare att få fatt i delar av klartext genom statistisk analys av fabricerade paket, även känt som Lucky Thirteen problemet (Tursamma tretton-problemet).

• CVE-2013-1621

  Ett arrayindexeringsfel kan möjligen tillåta fjärrangripare att orsaka en överbelastningsattack via vektorer som involverar ett fabricerat paddinglängdsvärde under validering av CBC-padding i en TLS-session.

• CVE-2013-1622

  Missformad CBC-data i en TLS-session kunde tillåta fjärrangripare att genomföra särskiljande attacker via statistisk analys av timingsidokanalsdata för fabricerade paket.

För den stabila utgåvan (squeeze) har dessa problem rättats i version 0.12.1-1squeeze1.

För uttestningsutgåvan (wheezy), and the instabila utgåvan (Sid) har dessa problem rättats i version 1.1.4-2.

Vi rekommenderar att ni uppgraderar era polarssl-paket.