Информация по безопасности / 2013 / Информация о безопасности -- DSA-2781-1 python-crypto

Рекомендация Debian по безопасности

DSA-2781-1 python-crypto -- в некоторых ситуациях PRNG некорректно заполняется повторно

Дата сообщения:

18.10.2013

Затронутые пакеты:

python-crypto

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-1445.

Более подробная информация:

Была обнаружена уязвимость шифрования в генераторе псевдослучайных чисел в python-crypto.

В некоторых ситуациях состояние гонки может привести к предотвращению повторного заполнения генератора, когда множественные процессы ответвляются от одного и того же родительского процесса. Это приводит приводить к тому, что генератор порождает идентичный вывод для всех процессов, что может привести к утечке чувствительных значений, таких как ключи шифрования.

В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.1.0-2+squeeze2.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 2.6-4+deb7u3.

В тестируемом выпуске (jessie) эта проблема была исправлена в версии 2.6.1-2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.6.1-1.

Мы рекомендуем вам обновить ваши пакеты python-crypto.