Debians sikkerhedsbulletin

DSA-3296-1 libcrypto++ -- sikkerhedsopdatering

Rapporteret den:
29. jun 2015
Berørte pakker:
libcrypto++
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-2141.
Yderligere oplysninger:

Evgeny Sidorov opdagede at libcrypto++, et generelt kryptografisk bibliotek til C++, ikke på korrekt vis implementerede blænding med det formål at maskere private nøglehandlinger i Rabin-Williams-algoritmen til digitale signaturer. Derved kunne fjernangribere få mulighed for at iværksætte et timingangreb samt få fat i brugerens private nøgle.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 5.6.1-6+deb7u1.

I den stabile distribution (jessie), er dette problem rettet i version 5.6.1-6+deb8u1.

I distributionen testing (stretch), vil dette problem blive rettet i version 5.6.1-7.

I den ustabile distribution (sid), er dette problem rettet i version 5.6.1-7.

Vi anbefaler at du opgraderer dine libcrypto++-pakker.