blob: 3fea2f26b9b6c76a43e1994033b9e9a1613a23ee (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
<define-tag description>överbelastningsattack</define-tag>
<define-tag moreinfo>
<p>
Rättelsen som skulle korrigera CVE-2006-2940 introducerade kod som kunde
leda till att oinitierat minne användes.
När sådant används kan programmet som använder openssl-biblioteket krascha,
och kan möjligen göra det möjligt för en angripare att exekvera godtycklig
kod.
Texten från originalbulletinen följer nedan:
</p>
<blockquote>
<p>
Flera sårbarheter har upptäckts i kryptografipaketet OpenSSL, vilket kunde
göra det möjligt för en angripare att utföra en överbelastningsattack genom
att ta upp alla systemresurser eller krascha processer på offrets maskin.
</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2937">CVE-2006-2937</a>
<p>
Dr S N Henson från OpenSSL:s kärngrupp och Open Network Security
utvecklade nyligen en ASN1-testsvit för NISCC (www.niscc.gov.uk).
När testsviten kördes mot OpenSSL upptäcktes två sårbarheter som
kunde utnyttjas till överbelastningsattacker.
</p>
<p>
Vid parsning av vissa ogiltiga ASN1-strukturer hanterades en felkod på
fel sätt. Detta kunde leda till en oändlig slinga vilken tog upp
systemminne.
</p>
<p>
All kod som använder OpenSSL för att tolka ASN1-data från obetrodda
källor påverkas. Detta gäller bland annat SSL-servrar som aktiverar
klientautentisering samt S/MIME-program.
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-3738">CVE-2006-3738</a>
<p>
Tavis Ormandy och Will Drewry från Googles säkerhetsgrupp upptäckte ett
buffertspill i funktionen SSL_get_shared_ciphers, vilken används
av flera program, till exempel exim och mysql. En angripare kunde sända
en lista med chiffer som spillde en buffert.
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-4343">CVE-2006-4343</a>
<p>
Tavis Ormandy och Will Drewry från Googles säkerhetsgrupp upptäckte en
möjlighet till överbelastningsattack i sslv2-klientkoden. När ett
klientprogram använde OpenSSL för att öppna en SSLv2-anslutning till
en elakartad server kunde den servern få klienten att krascha.
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2940">CVE-2006-2940</a>
<p>
Dr S N Henson från OpenSSL:s kärngrupp och Open Network Security
utvecklade nyligen en ASN1-testsvit för NISCC (www.niscc.gov.uk).
När testsviten kördes mot OpenSSL upptäcktes en möjlighet till
överbelastningsattack.
</p>
<p>
Vissa sorters öppna nycklar kunde ta oproportionella mängder tid
att behandla. Detta kunde utnyttjas av en angripare för att utföra
en överbelastningsattack.
</p>
</li>
</ul>
</blockquote>
<p>För den stabila utgåvan (Sarge) har dessa problem rättats i
version 0.9.7e-3sarge4.</p>
<p>
För den instabila utgåvan och uttestningsutgåven (Sid respektive Etch)
kommer dessa problem att rättas i version 0.9.7k-3 av
openssl097-kompatibilitetsbiblioteken samt i version 0.9.8c-3 av
openssl-paketet.
</p>
<p>
Vi rekommenderar att ni uppgraderar ert openssl-paket.
Observera att tjänster som länkar mot de delade openssl-biblioteken måste
startas om. Detta gäller bland annat de flesta e-postserverprogramvaror,
SSH-servrar och webbservrar.
</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1185.data"
|
