En säkerhetsbrist, som upptäckes av Sun, beror på en ospecificerad brist i OpenSSL PKCS#11 engine. Denna kan utnyttjas för att avbryta en SSL-session genom att krascha funktionerna "RSA_sign" och "RSA_verify".
Påverkade versioner:
Varningen har utfärdats av projektledaren för Tor, Roger Dingledine. Sårbarheten beror på en svaghet i Debian Linux version av OpenSSL. Genom att nycklarna och alla andra former av kryptologiskt material inte genererats korrekt innehåller de alldeles för lite entropi och blir lätta att räkna ut av en angripare som försöker en så kallad Brute Force-metod.Beskrivning:
Debian har utfärdat en uppdatering för OpenSSL. Detta fixar en del svagheter som kan utnyttjas av illasinnade personer att orsaka en DoS (Denial of Service) och potentiellt kompromettera ett sårbart system, och en fråga om säkerhet, vilket kan leda till svaga kryptografisk nyckel material.
1) De säkerhetsproblem som orsakas på grund av den slumpmässiga nummer generator i Debians openssl paketet är förutsägbar. Detta kan leda till en kryptografisk nyckel som alstras t.ex. för SSH-nycklar, OpenVPN nycklar, DNSSEC-nycklar, och viktiga material för användning i X.509-certifikat och session nycklar som används i SSL / TLS-anslutningar.
De säkerhetsproblem som rapporteras i Debians OpenSSL paket som börjar med 0.9.8c-1 (laddats upp till unstable distribution, från 2006-09-17) och påverkar alla nycklar som genererats med denna uppdatering.
2) Ett ospecificerat fel inom DTLS genomförandet kan utnyttjas av illasinnade personer att orsaka en DoS (Denial of Service) och potentiellt kompromettera ett sårbart system.
Lösning:
Installera de uppdaterade paketen och återskapa alla kryptografiska nycklar.
Inlägg
Alla kommentarer
