Csomag: openssl094, openssl095, openssl
Probléma típus: több távolról kihasználható hiba
Debian-specifikus: nem
CVE: CAN-2002-0655 CAN-2002-0656 CAN-2002-0657 CAN-2002-0659
Megjegyzés: Ez a hibajegy a DSA-136-1 hibajegy frissítése, amit 2002 Július 30-án tettünk közzé. Tartalmazza az ASN1 frissítéseket a woody csomagokhoz, valamint a potato csomagokat, amik eredetileg nem voltak elérhetők.
Az OpenSSL fejlesztõi team bejelentette, hogy A.L Digital LTD.-tõl és a DARPA CHATS programjához tartozó "The Bunker" által végzett security audit több távolról kihasználható puffer-túlcsordulási hibát talált az OpenSSL kódjában. Továbbá az OpenSSL ASN1 értelmezõje lehetséges, hogy DoS-ra érzékeny, amely hibát egymástól függetlenül talált meg Adi Stav és James Yonan.
A CAN-2002-0655 olyan puffer túlcsordulási hibájára vonatkozik, ami az egészek ASCII reprezentációját tárolja 64 bites platformokon. A CAN-2002-0656 az SSL2 szerver implementációjában puffer-túlcsordulási (, ami egy a szervernek küldött érvénytelen kulcs küldésével hozható elõ) és az SSL3 kliens implementációjában levõ hibára (, ami akkor hat, ha a szerver túl nagy session ID-t küld vissza) vonatkozik. Az SSL2-es lehetõséget Neohapsis is észrevette, aki privátban bemutatott egy exploit kódot is. A CAN-2002-0659 az ASN1 értelmezõbeli DoS hibára vonatkozik.
Ezek a sebezhetőségek a Debian 3.0-ban (woody) az openssl094_0.9.4-6.woody.1 -ben, openssl095_0.9.5a-6.woody.1 -ben és a openssl_0.9.6c-2.woody.1. -ben van javítva.
Ezek a sebezhetőségek szintén adottak a Debian 2.2 (potato)-ban, javítva a openssl094_0.9.4-6.potato.0 és a openssl_0.9.6c-0.potato.4 verziójú csomagokban találhatók.
Csak i386 csomagok vannak az openssl094 és openssl095-ből jelenleg. A többi architektúrát is elkészítik amilyen gyorsan csak lehet.
Egy féreg jelenleg is képes kihasználni ezt a "lehatőséget" az internetre kötött gépeken. Ennélfogva javasoljuk, hogy frissítsd az OpenSSL-t amilyen hamar csak tudod. Figyelj arra, hogy minden démont újra kell indítani ami SSL-t használ. (pl. ssh vagy ssh engedélyezett apache.) Ha vannak bizonytalan programok amik SSL-t használnak, akkor inkább indítsd újra a géped, hogy meggyőződj arról, hogy minden futó démon az új könyvtárakat használja.
Michael Stone levele a debian-security-announce listán.
A frissítésrõl szóló FAQ-nk.
Megjegyzés: Ha használtad az anno általam potatohoz közzétett hotfixeket, akkor a most hivatalosan kiadott frissítéseket kézzel kell felrakni, ui. a verziószám, amit én adtam a csomagnak kb. uaz. mint a mostani, ellenben a potato szó helyett woody van benne, és így a dpkg az én régebbi verziómat tekinti frissebbnek!