Säkerhetsbulletin från Debian
DSA-3417-1 bouncycastle -- säkerhetsuppdatering
- Rapporterat den:
- 2015-12-14
- Berörda paket:
- bouncycastle
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 802671.
I Mitres CVE-förteckning: CVE-2015-7940. - Ytterligare information:
-
Tibor Jager, Jörg Schwenk och Juraj Somorovsky från Horst Görtz Institut för IT-säkerhet, publicerade en rapport i ESORICS 2015 där de beskrev ett angrepp rörande ogiltiga kurvor i Bouncy Castle Crypto, ett Javabibliotek för kryptografi. En angripare har möjligheten att få privata Elliptic Curve-nycklar från olika applikationer, exempelvis TLS-servrar.
Mer information: http://web-in-security.blogspot.ca/2015/09/practical-invalid-curve-attacks.html
Praktiska Invalid Curve-angrepp på TLS-ECDH: http://euklid.org/pdf/ECC_Invalid_Curve.pdfFör den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.44+dfsg-3.1+deb7u1.
För den stabila utgåvan (Jessie) har detta problem rättats i version 1.49+dfsg-3+deb8u1.
För den instabila utgåvan (Sid) har detta problem rättats i version 1.51-2.
Vi rekommenderar att ni uppgraderar era bouncycastle-paket.