--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 394-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
11 de Outubro de 2003 http://www.debian.org/security/faq
--------------------------------------------------------------------------
Pacote : openssl095
Vulnerabilidade : vulnerabilidade na analise ASN.1
Tipo de Problema : remoto
Específico ao Debian : não
Referências CVE : CAN-2003-0543 CAN-2003-0544 CAN-2003-0545
Steve Henson da equipe principal do OpenSSL identificou e preparou
correções para vária vulnerabilidades no código ASN1 do OpenSSL que
foram descobertas após a execução de uma suite de teste da NISCC
(Centro Nacional Britânico para Coordenação de Infraestrutura de
Segurança).
Um erro no protocolo SSL/TLS do OpenSSL também foi identificado.
Esse erro leva o OpenSSL a analisar certificados de clientes de
um cliente SSL/TLS quando ele rejeita a si mesmo com um erro de
protocolo.
O projeto Vulnerabilidades e Exposições Comuns identificou os seguintes
problemas:
CAN-2003-0543:
Estouro de inteiro no OpenSSL que permite a atacantes remotos causarem
uma negação de serviço (crash) via um certificado de cliente SSL com
certos valores ASN.1.
CAN-2003-0544:
O OpenSSL não registra apropriadamente o número de caracteres em certas
entradas ASN.1, o que permite a atacantes remotos causarem negação de
serviço (crash) via um certificado de cliente SSL que leva o OpenSSL a
ler o fim do buffer que passou quando formas longas são usadas.
CAN-2003-0545:
Uma vulnerabilidade permite que atacantes remotos causem uma negação
de serviço (crash) e possibilita a execução arbitrária de código através de
um certificado de cliente SSL com certas codificações ASN.1 inválidas. Esse
erro está presente somente no OpenSSL 0.9.7 e está listado aqui apenas como
referência.
Para a distribuição estável (woody) esse problema foi corrigido na
openssl095 versão 0.9.5a-6.woody.3.
Esse pacote não está presente nas distribuições instável (sid) e testing
(sarge).
Nós recomendamos que atualize seu pacote libssl095a e reinicie os serviços
que utilizam essa biblioteca. O Debian não vem com nenhum pacote que esteja
ligado à essa biblioteca.
A seguinte linha de comando (cortesia de Ray Dassen) produz uma lista dos
nomes dos processos que possuem a libssl095 mapeada em seus espaços de
memória:
find /proc -name maps -exec egrep -l 'libssl095' {} /dev/null \; \
| sed -e 's/[^0-9]//g' | xargs --no-run-if-empty ps --no-headers -p | \
sed -e 's/^\+//' -e 's/ \+/ /g' | cut -d ' ' -f 5 | sort | uniq
Você deve reiniciar os serviços associados.
--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista
debian-security-announce@lists.debian.org. Caso queira receber os
alertas em inglês e minutos depois de sua publicação, inscreva-se na
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------
Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
*******************************************************************
.''`. Debian Weekly News: <http://www.debian.org/News/weekly>
: :' : Debian BR.........: <http://debian-br.cipsga.org.br>
`. `'` Equipe de Imprensa e Traduções do Debian-BR
`- O que você quer saber hoje?
*******************************************************************
Se você tiver notícias interessantes para serem publicadas,
envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.
Attachment:
pgpRBkd1OE1lL.pgp
Description: PGP signature