blob: 594f60cc7223fd37429d725b250bd2964bf3229e (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
|
#use wml::debian::translation-check translation="53a80c9fc252ed5446be0db6cd4e1c0319a20e79" mindelta="1"
<define-tag description>säkerhetsuppdatering</define-tag>
<define-tag moreinfo>
<p>Flera säkerhetssårbarheter har upptäckts i botan1.10, ett C++-bibliotek
som tillhandahåller stöd för många kryptografiska operationer, inklusive
kryptering, autentisering, X.509v3-certifikat och CRLer.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5726">CVE-2015-5726</a>
<p>BER-avkodaren kunde krascha på grund av läsning från offset 0 i
en tom vektor om den kom på en BIT STRING som inte innehåller någon
data alls. Detta kan användas för att enkelt krascha applikationer
som läser opålitlig ASN.1-data, men verkar inte vara exploaterbart
för kodexekvering.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5727">CVE-2015-5727</a>
<p>BER-avkodaren kunde allokera en ganska godtycklig mängd minne i
ett längdfält, även om det inte fanns någon chans att läsförfrågan
kunde lyckas. Detta kan orsaka att processen får slut på minne eller
triggar OOM-dödaren.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7827">CVE-2015-7827</a>
<p>Använd PKCS #1-avpaddning med konstant tidsåtgång för att undvika
möjliga sidokanalangrepp mot RSA-dekryptering.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2194">CVE-2016-2194</a>
<p>Oändlig loop i modulära kvadratrotsalgoritmen.
Ressol-funktionen som implementerar Tonelli-Shanks-algoritmen för
att hitta kvadratrötter kunde fås till en nästan oändlig loop på grund
av en felaktigt placerad villkorskontroll. Detta kunde ske om en
kompositmodulus tillhandahålls, eftersom denna algoritm endast är
definierad för primtal. Denna funktion exponeras för input som kontrolleras
av en angripare via funktionen OS2ECP under ECC-punktdekomprimering.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2195">CVE-2016-2195</a>
<p>Rätta heapspill vid ogiltig ECC-punkt.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2849">CVE-2016-2849</a>
<p>Använd modulär inversalgoritm med konstant tid för att undvika möjligt
sidokanalsangrepp mot ECDSA.</p></li>
</ul>
<p>För den stabila utgåvan (Jessie) har dessa problem rättats i
version 1.10.8-2+deb8u1.</p>
<p>Vi rekommenderar att ni uppgraderar era botan1.10-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3565.data"
|