1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
|
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
<define-tag description>várias vulnerabilidades</define-tag>
<define-tag moreinfo>
<p>A Researchers descobriu duas falhas no OpenSSL, uma biblioteca SSL e ferramentas de
criptografia relacionadas. Aplicações que são ligadas a esta biblioteca geralmente são
vulneráveis a ataques que podem deixar escapar as chaves privadas do servidor ou fazer com
que uma sessão cifrada seja decifrada. O projeto Common Vulnerabilities and
Exposures (CVE) identificou as seguintes vulnerabilidades:</p>
<dl>
<dt><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0147">CAN-2003-0147</a></dt>
<dd>
O OpenSSL não usa RSA por padrão, o que permite que atacantes locais ou remotos obtenham a
chave privada do servidor.</dd>
<dt><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0131">CAN-2003-0131</a></dt>
<dd>
O SSL permite que atacantes remotos realizem uma operação com chaves privadas RSA não autorizadas
que faz com que o OpenSSL deixa escapar informações a respeito da relação entre texto
criptografado e texto plano associado.</dd>
</dl>
<p>Na atual distribuição estável (woody), este problema foi corrigido na versão
0.9.6c-2.woody.3.</p>
<p>Na antiga distribuição estável (potato), este problema foi corrigido na versão
0.9.6c-0.potato.6.</p>
<p>Na distribuição instável (sid), este problema foi corrigido na versão
0.9.7b-1 do openssl e na versão 0.9.6j-1 do openssl096.</p>
<p>Nós recomendamos que você atualize seus pacotes openssl imediatamente e reiniciem
as aplicações que usam OpenSSL.</p>
<p>Infelizmente, o RSA não é "thread-seguro" e irá causar falhas em programas
que usem threads e o OpenSSL, como o stunnel. De qualquer forma, uma vez que a correção
proposta deve mudar a interface binária (ABI), programas que são dinamicamente ligados
a OpenSSL não serão executados mais. Este dilema não pode ser resolvido.</p>
<p>Você deve decidir se quer a atualização de segurança, que não é "thread-segura"
e recompilar todas as aplicações que aparentemente falharão depois da atualização
ou pegar o fonte adicional dos pacotes, recompilá-los e usar uma biblioteca OpenSSL
"thread-segura" novamente, mas também recompilar todas as aplicações que farão uso dela
(como apache-ssl, mod_ssl, ssh etc.).</p>
<p>No entanto, como somente poucos pacotes usam threads e são ligadas a biblioteca
OpenSSL a maioria dos usuários poderão usar os pacotes dessa atualização sem problemas.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-288.data"
|
