-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 394-1 security@debian.org http://www.debian.org/security/ Martin Schulze 11 de Outubro de 2003 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : openssl095 Vulnerabilidade : vulnerabilidade na analise ASN.1 Tipo de Problema : remoto Específico ao Debian : não Referências CVE : CAN-2003-0543 CAN-2003-0544 CAN-2003-0545 Steve Henson da equipe principal do OpenSSL identificou e preparou correções para vária vulnerabilidades no código ASN1 do OpenSSL que foram descobertas após a execução de uma suite de teste da NISCC (Centro Nacional Britânico para Coordenação de Infraestrutura de Segurança). Um erro no protocolo SSL/TLS do OpenSSL também foi identificado. Esse erro leva o OpenSSL a analisar certificados de clientes de um cliente SSL/TLS quando ele rejeita a si mesmo com um erro de protocolo. O projeto Vulnerabilidades e Exposições Comuns identificou os seguintes problemas: CAN-2003-0543: Estouro de inteiro no OpenSSL que permite a atacantes remotos causarem uma negação de serviço (crash) via um certificado de cliente SSL com certos valores ASN.1. CAN-2003-0544: O OpenSSL não registra apropriadamente o número de caracteres em certas entradas ASN.1, o que permite a atacantes remotos causarem negação de serviço (crash) via um certificado de cliente SSL que leva o OpenSSL a ler o fim do buffer que passou quando formas longas são usadas. CAN-2003-0545: Uma vulnerabilidade permite que atacantes remotos causem uma negação de serviço (crash) e possibilita a execução arbitrária de código através de um certificado de cliente SSL com certas codificações ASN.1 inválidas. Esse erro está presente somente no OpenSSL 0.9.7 e está listado aqui apenas como referência. Para a distribuição estável (woody) esse problema foi corrigido na openssl095 versão 0.9.5a-6.woody.3. Esse pacote não está presente nas distribuições instável (sid) e testing (sarge). Nós recomendamos que atualize seu pacote libssl095a e reinicie os serviços que utilizam essa biblioteca. O Debian não vem com nenhum pacote que esteja ligado à essa biblioteca. A seguinte linha de comando (cortesia de Ray Dassen) produz uma lista dos nomes dos processos que possuem a libssl095 mapeada em seus espaços de memória: find /proc -name maps -exec egrep -l 'libssl095' {} /dev/null \; \ | sed -e 's/[^0-9]//g' | xargs --no-run-if-empty ps --no-headers -p | \ sed -e 's/^\+//' -e 's/ \+/ /g' | cut -d ' ' -f 5 | sort | uniq Você deve reiniciar os serviços associados. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce -------------------------------------------------------------------------- Henrique Pedroni Neto - kirkham <henrique@ital.org.br> ******************************************************************* .''`. Debian Weekly News: <http://www.debian.org/News/weekly> : :' : Debian BR.........: <http://debian-br.cipsga.org.br> `. `'` Equipe de Imprensa e Traduções do Debian-BR `- O que você quer saber hoje? ******************************************************************* Se você tiver notícias interessantes para serem publicadas, envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.
Attachment:
pgpRBkd1OE1lL.pgp
Description: PGP signature