------------------------------------------------------------------------
Alerta de Segurança Debian DSA-136-2 security@debian.org
http://www.debian.org/security/ Michael Stone
15 de Setembro de 2002 http://www.debian.org/security/faq
------------------------------------------------------------------------
Pacote : openssl094, openssl095, openssl
Tipo de Problema : várias explorações remotas
Específico ao Debian : não
CVE : CAN-2002-0655 CAN-2002-0656 CAN-2002-0657 CAN-2002-0659
Nota: este alerta é uma atualização ao DSA-136-1(30 de Julho de 2002). Ele
inclui atualizações ASN1 nos pacotes da woody e mais os pacotes da potato
que não foram inicialmente disponibilizados.
O time de desenvolvimento do OpenSSL anunciou que a auditoria de segurança
realizada pelas empresas A.L. Digital Ltd e The Bunker, no programa DARPA
CHATS, revelou uma condição de exploração remota de buffer overflow no
código do OpenSSL.
Além disso, o parser ASN1 no OpenSSL tem um potencial ataque DoS
independente descoberto por Adi Stav e James Yonan. O CAN-2002-0655 faz
uma referência ao overflow nos buffers usados para esperar representações
ASCII de inteiros em plataformas de 64 bit. O CAN-2002-0656 faz
referências ao buffer overflow na implementação do servidor SSL2 (enviando
uma chave inválida ao servidor) e a implementação do servidor SSL3
(enviando um grande session id ao cliente). A questão sobre o SSL2 também
foi noticiada por Neohapsis, que demonstrou privadamente um código
para exploração da falha. O CAN-2002-0659 é relacionado ao problema do
parser ASN1.
Essas vulnerabilidades foram dirigidas ao Debian 3.0 (woody) no
openssl094_0.9.4-6.woody.1, openssl095_0.9.5a-6.woody.1 e
openssl_0.9.6c-2.woody.1.
Essas vulnerabilidades também estão presentes no Debian 2.2 (potato).
Pacotes de correção estão disponíveis no openssl094_0.9.4-6.potato.0 e
openssl_0.9.6c-0.potato.4.
Somente pacotes i386 para openssl094 e openssl095 estão disponíveis nesse
momento, outras arquiteturas estarão disponíveis o mais rápido possível.
Um worm é uma exploração ativa que vem em arquivos atachados. Nós
recomendamos que você atualize seu OpenSSL o mais rápido possivel. Note
que você tem que reiniciar qualquer daemon que esteja usando SSL. (E.g.,
ssh or ssl-enabled apache.) Se você está incerto sobre quais programas
utilizam o SSL você pode escolher reinicializar o sistema para ter certeza
de que todos os daemons rodando, estão usando as novas bibliotecas.
--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista
debian-security-announce@lists.debian.org. Caso queira receber os
alertas em inglês e minutos depois de sua publicação, inscreva-se na
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------
Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
*******************************************************************
.''`. Debian Weekly News: <http://www.debian.org/News/weekly>
: :' : Debian BR.........: <http://debian-br.cipsga.org.br>
`. `'` Equipe de Imprensa e Traduções do Debian-BR
`- O que você quer saber hoje?
*******************************************************************
Se você tiver notícias interessantes para serem publicadas,
envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.
Attachment:
pgpE48oubNqjG.pgp
Description: PGP signature