-------------------------------------------------------------------------- Alerta de Segurança Debian DSA-136-1 security@debian.org http://www.debian.org/security/ Wichert Akkerman 30 de Julho de 2002 -------------------------------------------------------------------------- Pacote : openssl Tipo do Problema : várias explorações remotas Específico ao Debian : não CVE : CAN-2002-0655 CAN-2002-0656 CAN-2002-0657 CAN-2002-0659 O time de desenvolvimento do OpenSSL anunciou que a auditoria de segurança realizada pelas empresas A.L. Digital Ltd e The Bunker, no programa DARPA CHATS, revelou uma condição de exploração remota de buffer overflow no código do OpenSSL. Adicionalmente, o parser ASN1 no OpenSSL tem um potencial ataque DoS independente descoberto por Adi Stav e James Yonan. O CAN-2002-0655 faz uma referência ao overflow nos buffers usados para esperar representações ASCII de inteiros em plataformas de 64 bit. O CAN-2002-0656 faz referências ao buffer overflow na implementação do servidor SSL2 (enviando uma chave inválida ao servidor) e a implementação do servidor SSL3 (enviando um grande session id ao cliente). A questão sobre o SSL2 também foi noticiada por Neohapsis, que demonstrou privadamente um código para exploração da falha. O CAN-2002-0659 é relacionado ao problema do parser ASN1. Essa vulnerabilidade foi dirigida ao Debian 3.0 (woody) no openssl094_0.9.4-6.woody.0, openssl095_0.9.5a-6.woody.0 e openssl_0.9.6c-2.woody.0. Essa vulnerabilidade também está presente no Debian 2.2 (potato), mas não há uma correção disponível nesse momento. Nós recomendamos que você atualize seu OpenSSL o mais rápido possível. Note que você deve reiniciar qualquer daemon que esteja executando SSL (como ssh ou apache com ssl habilitado.) --------------------------------------------------------------------------
Attachment:
pgpUn3mpJ9F2z.pgp
Description: PGP signature