Csomag : openssl
Probléma típus: több távolról kihasználható hiba
Debian-specifikus: nem
CVE: CAN-2002-0655 CAN-2002-0656 CAN-2002-0657 CAN-2002-0659
Az OpenSSL fejlesztõi team bejelentette, hogy A.L Digital LTD.-tõl és a DARPA CHATS programjához tartozó "The Bunker" által végzett security audit több távolról kihasználható puffer-túlcsordulási hibát talált az OpenSSL kódjában. Továbbá az OpenSSL ASN1 értelmezõje lehetséges, hogy DoS-ra érzékeny, amely hibát egymástól függetlenül talált meg Adi Stav és James Yonan.A CAN-2002-0655 olyan puffer túlcsordulási hibájára vonatkozik, ami az egészek ASCII reprezentációját tárolja 64 bites platformokon. A CAN-2002-0656 az SSL2 szerver implementációjában puffer-túlcsordulási (, ami egy a szervernek küldött érvénytelen kulcs küldésével hozható elõ) és az SSL3 kliens implementációjában levõ hibára (, ami akkor hat, ha a szerver túl nagy session ID-t küld vissza) vonatkozik. Az SSL2-es lehetõséget Neohapsis is észrevette, aki privátban bemutatott egy exploit kódot is. A CAN-2002-0659 az ASN1 értelmezõbeli hibára vonatkozik.
Ezek a támadhatóságok a Debian 3.0 (Woody)-ban a következõ csomagokban vannak meg: openssl094_0.9.4-6.woody.0, openssl095_0.9.5a-6.woody.0 és openssl_0.9.6c-2.woody.0.
Ezek a támadhatóságok a Debian 2.2 (Potato)-ban is megvannak, de pillanatnyilag nincs hozzá hivatalos security fix.
Javasoljuk, frissítsd a fentieket, amilyen gyorsan csak tudod. Figyelem: minden az openssl library-hez linkelt szolgáltatást újra kell indíts, hogy a változások érvénybelépjenek.
Az eredeti DSA-136-1 hibajelentést itt olvashatod.
Egy kis saját megjegyzés: Akinek mégis potato-ja van, annak frissibe' most csináltam "backportot", ami annyiból áll, hogy egy potato-n leforgattam a woody-s forrásokat. Úgy tünik, korrektül felmegy. A frissítéshez használd a következõ sort a /etc/apt/sources.list-ben:
deb http://debian.fsn.hu/~pasztor/debian potato hotfix