Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3417-1 bouncycastle

Säkerhetsbulletin från Debian

DSA-3417-1 bouncycastle -- säkerhetsuppdatering

Rapporterat den:

2015-12-14

Berörda paket:

bouncycastle

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 802671.
I Mitres CVE-förteckning: CVE-2015-7940.

Ytterligare information:

Tibor Jager, Jörg Schwenk och Juraj Somorovsky från Horst Görtz Institut för IT-säkerhet, publicerade en rapport i ESORICS 2015 där de beskrev ett angrepp rörande ogiltiga kurvor i Bouncy Castle Crypto, ett Javabibliotek för kryptografi. En angripare har möjligheten att få privata Elliptic Curve-nycklar från olika applikationer, exempelvis TLS-servrar.

Mer information: http://web-in-security.blogspot.ca/2015/09/practical-invalid-curve-attacks.html
Praktiska Invalid Curve-angrepp på TLS-ECDH: http://euklid.org/pdf/ECC_Invalid_Curve.pdf

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.44+dfsg-3.1+deb7u1.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.49+dfsg-3+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.51-2.

Vi rekommenderar att ni uppgraderar era bouncycastle-paket.