Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3296-1 libcrypto++

Säkerhetsbulletin från Debian

DSA-3296-1 libcrypto++ -- säkerhetsuppdatering

Rapporterat den:

2015-06-29

Berörda paket:

libcrypto++

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-2141.

Ytterligare information:

Evgeny Sidorov upptäckte att libcrypto++, en generell C++-kryptografiskt bibliotek inte implementerar bländning för att maskera privata nyckelhandlingar ordentligt i digitala signaturalgoritmen Rabin-Williams. Detta kunde tillåta fjärrangripare att utföra ett timing-angrepp för att få åtkomst till användarens privata nyckel.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 5.6.1-6+deb7u1.

För den stabila utgåvan (Jessie) har detta problem rättats i version 5.6.1-6+deb8u1.

För uttestningsutgåvan (Stretch), kommer detta problem att fixed i version 5.6.1-7.

För den instabila utgåvan (Sid) har detta problem rättats i version 5.6.1-7.

Vi rekommenderar att ni uppgraderar era libcrypto++-paket.