Рекомендация Debian по безопасности

DSA-3296-1 libcrypto++ -- обновление безопасности

Дата сообщения:
29.06.2015
Затронутые пакеты:
libcrypto++
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-2141.
Более подробная информация:

Евгений Сидоров обнаружил, что libcrypto++, библиотека общего назначения для поддержки шифрования в C++, неправильно реализует выборочную блокировку для скрытия операций с закрытыми ключами в алгоритме цифровых подписей Рабина-Уильямса. Эта уязвимость может позволить удалённым злоумышленникам осуществить атаку на тайминги и получить закрытый ключ пользователя.

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 5.6.1-6+deb7u1.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 5.6.1-6+deb8u1.

В тестируемом выпуске (stretch) эта проблема будет исправлена в версии 5.6.1-7.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 5.6.1-7.

Рекомендуется обновить пакеты libcrypto++.