Информация по безопасности / 2015 / Информация о безопасности -- DSA-3296-1 libcrypto++

Рекомендация Debian по безопасности

DSA-3296-1 libcrypto++ -- обновление безопасности

Дата сообщения:

29.06.2015

Затронутые пакеты:

libcrypto++

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-2141.

Более подробная информация:

Евгений Сидоров обнаружил, что libcrypto++, библиотека общего назначения для поддержки шифрования в C++, неправильно реализует выборочную блокировку для скрытия операций с закрытыми ключами в алгоритме цифровых подписей Рабина-Уильямса. Эта уязвимость может позволить удалённым злоумышленникам осуществить атаку на тайминги и получить закрытый ключ пользователя.

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 5.6.1-6+deb7u1.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 5.6.1-6+deb8u1.

В тестируемом выпуске (stretch) эта проблема будет исправлена в версии 5.6.1-7.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 5.6.1-7.

Рекомендуется обновить пакеты libcrypto++.