Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3296-1 libcrypto++

Debians sikkerhedsbulletin

DSA-3296-1 libcrypto++ -- sikkerhedsopdatering

Rapporteret den:

29. jun 2015

Berørte pakker:

libcrypto++

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-2141.

Yderligere oplysninger:

Evgeny Sidorov opdagede at libcrypto++, et generelt kryptografisk bibliotek til C++, ikke på korrekt vis implementerede blænding med det formål at maskere private nøglehandlinger i Rabin-Williams-algoritmen til digitale signaturer. Derved kunne fjernangribere få mulighed for at iværksætte et timingangreb samt få fat i brugerens private nøgle.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 5.6.1-6+deb7u1.

I den stabile distribution (jessie), er dette problem rettet i version 5.6.1-6+deb8u1.

I distributionen testing (stretch), vil dette problem blive rettet i version 5.6.1-7.

I den ustabile distribution (sid), er dette problem rettet i version 5.6.1-7.

Vi anbefaler at du opgraderer dine libcrypto++-pakker.