------------------------------------------------------------------------ Alerta de Segurança Debian DSA-136-2 security@debian.org http://www.debian.org/security/ Michael Stone 15 de Setembro de 2002 http://www.debian.org/security/faq ------------------------------------------------------------------------ Pacote : openssl094, openssl095, openssl Tipo de Problema : várias explorações remotas Específico ao Debian : não CVE : CAN-2002-0655 CAN-2002-0656 CAN-2002-0657 CAN-2002-0659 Nota: este alerta é uma atualização ao DSA-136-1(30 de Julho de 2002). Ele inclui atualizações ASN1 nos pacotes da woody e mais os pacotes da potato que não foram inicialmente disponibilizados. O time de desenvolvimento do OpenSSL anunciou que a auditoria de segurança realizada pelas empresas A.L. Digital Ltd e The Bunker, no programa DARPA CHATS, revelou uma condição de exploração remota de buffer overflow no código do OpenSSL. Além disso, o parser ASN1 no OpenSSL tem um potencial ataque DoS independente descoberto por Adi Stav e James Yonan. O CAN-2002-0655 faz uma referência ao overflow nos buffers usados para esperar representações ASCII de inteiros em plataformas de 64 bit. O CAN-2002-0656 faz referências ao buffer overflow na implementação do servidor SSL2 (enviando uma chave inválida ao servidor) e a implementação do servidor SSL3 (enviando um grande session id ao cliente). A questão sobre o SSL2 também foi noticiada por Neohapsis, que demonstrou privadamente um código para exploração da falha. O CAN-2002-0659 é relacionado ao problema do parser ASN1. Essas vulnerabilidades foram dirigidas ao Debian 3.0 (woody) no openssl094_0.9.4-6.woody.1, openssl095_0.9.5a-6.woody.1 e openssl_0.9.6c-2.woody.1. Essas vulnerabilidades também estão presentes no Debian 2.2 (potato). Pacotes de correção estão disponíveis no openssl094_0.9.4-6.potato.0 e openssl_0.9.6c-0.potato.4. Somente pacotes i386 para openssl094 e openssl095 estão disponíveis nesse momento, outras arquiteturas estarão disponíveis o mais rápido possível. Um worm é uma exploração ativa que vem em arquivos atachados. Nós recomendamos que você atualize seu OpenSSL o mais rápido possivel. Note que você tem que reiniciar qualquer daemon que esteja usando SSL. (E.g., ssh or ssl-enabled apache.) Se você está incerto sobre quais programas utilizam o SSL você pode escolher reinicializar o sistema para ter certeza de que todos os daemons rodando, estão usando as novas bibliotecas. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce -------------------------------------------------------------------------- Henrique Pedroni Neto - kirkham <henrique@ital.org.br> ******************************************************************* .''`. Debian Weekly News: <http://www.debian.org/News/weekly> : :' : Debian BR.........: <http://debian-br.cipsga.org.br> `. `'` Equipe de Imprensa e Traduções do Debian-BR `- O que você quer saber hoje? ******************************************************************* Se você tiver notícias interessantes para serem publicadas, envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.
Attachment:
pgpE48oubNqjG.pgp
Description: PGP signature