Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2781-1 python-crypto

Säkerhetsbulletin från Debian

DSA-2781-1 python-crypto -- felaktig återsådd av PRNG i vissa situationer

Rapporterat den:

2013-10-18

Berörda paket:

python-crypto

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-1445.

Ytterligare information:

En kryptografisk sårbarhet har upptäckts i pseudoslumptalsgeneratorn i python-crypto.

I vissa situationer kunde en kapplöpningseffekt förhindra återsådd i generatorn när flera processer forkas från samma förälder. Detta kunde leda till att identisk utdata genereras på alla processer, vilket kan leda till att känslig information, som kryptografiska nycklar, läcks.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 2.1.0-2+squeeze2.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 2.6-4+deb7u3.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 2.6.1-2.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.6.1-1.

Vi rekommenderar att ni uppgraderar era python-crypto-paket.