-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 288-1 security@debian.org http://www.debian.org/security/ Martin Schulze 17 de Abril de 2003 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : openssl Vulnerabilidade : várias vulnerabilidades Tipo de Problema : remoto Específico ao Debian : não Id CVE : CAN-2003-0147 CAN-2003-0131 A Researchers descobriu duas falhas no OpenSSL, uma biblioteca SSL e ferramentas de criptografia relacionadas. Aplicações que são ligadas a esta biblioteca geralmente são vulneráveis a ataques que podem deixar escapar as chaves privadas do servidor ou fazer com que uma sessão cifrada seja descifrada. O projeto Common Vulnerabilities and Exposures (CVE) identificou as seguintes vulnerabilidades: * CAN-2003-0147 O OpenSSL não usa RSA por padrão, o que permite que atacantes locais ou remotos obtenham a chave privada do servidor. * CAN-2003-0131 O SSL permite que atacantes remotos realizem uma operação com chaves privadas RSA não autorizadas que faz com que o OpenSSL deixa escapar informações a respeito da relação entre texto criptografado e texto plano associado. Na atual distribuição estável (woody), este problema foi corrigido na versão 0.9.6c-2.woody.3. Na antiga distribuição estável (potato), este problema foi corrigido na versão 0.9.6c-0.potato.6. Na distribuição instável (sid), este problema foi corrigido na versão 0.9.7b-1 do openssl e na versão 0.9.6j-1 do openssl096. Nós recomendamos que você atualize seus pacotes openssl imediatamente e reiniciem as aplicações que usam OpenSSL. Infelizmente, o RSA não é "thread-seguro" e irá causar falhas em programas que usem threads e o OpenSSL, como o stunnel. De qualquer forma, uma vez que a correção proposta deve mudar a interface binária (ABI), programas que são dinamicamente ligados a OpenSSL não serão executados mais. Este dilema não pode ser resolvido. Você deve decidir se quer a atualização de segurança, que não é "thread-segura" e recompilar todas as aplicações que aparentemente falharão depois da atualização ou pegar o fonte adicional dos pacotes, recompilá-los e usar uma biblioteca OpenSSL "thread-segura" novamente, mas também recompilar todas as aplicações que farão uso dela (como apache-ssl, mod_ssl, ssh etc.). No entanto, como somente poucos pacotes usam threads e são ligadas a biblioteca OpenSSL a maioria dos usuários poderão usar os pacotes dessa atualização sem problemas. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce --------------------------------------------------------------------------
Attachment:
pgp2erXdFOJrv.pgp
Description: PGP signature