Säkerhetsbulletin från Debian

DSA-3417-1 bouncycastle -- säkerhetsuppdatering

Rapporterat den:
2015-12-14
Berörda paket:
bouncycastle
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 802671.
I Mitres CVE-förteckning: CVE-2015-7940.
Ytterligare information:

Tibor Jager, Jörg Schwenk och Juraj Somorovsky från Horst Görtz Institut för IT-säkerhet, publicerade en rapport i ESORICS 2015 där de beskrev ett angrepp rörande ogiltiga kurvor i Bouncy Castle Crypto, ett Javabibliotek för kryptografi. En angripare har möjligheten att få privata Elliptic Curve-nycklar från olika applikationer, exempelvis TLS-servrar.

Mer information: http://web-in-security.blogspot.ca/2015/09/practical-invalid-curve-attacks.html
Praktiska Invalid Curve-angrepp på TLS-ECDH: http://euklid.org/pdf/ECC_Invalid_Curve.pdf

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.44+dfsg-3.1+deb7u1.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.49+dfsg-3+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.51-2.

Vi rekommenderar att ni uppgraderar era bouncycastle-paket.