Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2781-1 python-crypto

Debians sikkerhedsbulletin

DSA-2781-1 python-crypto -- PRNG gen-seedes ikke på korrekt vis i nogle situationer

Rapporteret den:

18. okt 2013

Berørte pakker:

python-crypto

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-1445.

Yderligere oplysninger:

En kryptografisk sårbarhed blev opdaget i pseudo-tilfældighedstalgeneratoren i python-crypto.

I nogle situationer kunne en kapløbstilstand forhindre gen-seedning af generatoren, når flere processer blev forgrenet fra den samme forælder. Det kunne føre til generering af identiske uddata i alle processer, hvilket måske kunne lække følsomme værdier så som kryptografiske nøgler.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 2.1.0-2+squeeze2.

I den stabile distribution (wheezy), er dette problem rettet i version 2.6-4+deb7u3.

I distributionen testing (jessie), er dette problem rettet i version 2.6.1-2.

I den ustabile distribution (sid), er dette problem rettet i version 2.6.1-1.

Vi anbefaler at du opgraderer dine python-crypto-pakker.