Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
Исследователи обнаружили два изъяна в OpenSSL, библиотеке протокола
Secure Socket Layer (SSL) и связанных криптографических инструментах.
Приложения, собранные с использованием этой библиотеки, в основном,
уязвимы к атакам, которые могут привести к утечке частного ключа
сервера или сделать сеанс шифрования уязвимым к расшифровке.
Проект Common Vulnerabilities and Exposures (CVE) идентифицировал
следующие уязвимости:
CAN-2003-0147
OpenSSL по умолчанию не использует "ослепление" RSA, что позволяет
локальным и удалённым нападающим получить частный ключ сервера.
CAN-2003-0131
SSL позволяет удалённым нападающим производить действия с
неавторизованным частным ключом RSA, что приведет к утечке из OpenSSL
информации, касающейся связи и соотношения между шифротекстом и
открытым текстом.
В стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 0.9.6c-2.woody.3.
В старом стабильном дистрибутиве (potato) эти проблемы исправлены
в версии 0.9.6c-0.potato.6.
В нестабильном дистрибутиве (sid) эти проблемы исправлены
в версии 0.9.7b-1 пакета openssl и версии 0.9.6j-1 пакета openssl096.
Мы рекомендуем вам немедленно обновить пакеты openssl и перезапустить
приложения, использующие OpenSSL.
К сожалению, "ослепление" RSA недостаточно надёжно работает с потоками,
и может вызвать ошибки в программах, использующих и потоки, и OpenSSL,
таких как stunnel. Тем не менее, поскольку предлагаемое исправление
меняет двоичный интерфейс (ABI), программы, связанные с OpenSSL
динамически, больше не будут работать. Это дилемма, которую мы не в
состоянии решить.
Вам придётся решить, хотите ли вы получить обновление, связанное
с безопасностью, ненадёжно работающее с потоками, и перекомпилировать
все приложения, которые не смогут работать после обновления, или же
загрузить дополнительные пакеты с исходным кодом в конце данного
предложения, перекомпилировать их и использовать библиотеку OpenSSL,
безопасно работающую с потоками, но также перекомпилировать все
приложения, использующие её (такие как apache-ssl, mod_ssl, ssh и т.д.).
Тем не менее, поскольку лишь очень немногие пакеты используют
потоки и связаны с OpenSSL, большинство пользователей смогут использовать
пакеты из этого обновления без каких-либо проблем.
Secure Socket Layer (SSL) и связанных криптографических инструментах.
Приложения, собранные с использованием этой библиотеки, в основном,
уязвимы к атакам, которые могут привести к утечке частного ключа
сервера или сделать сеанс шифрования уязвимым к расшифровке.
Проект Common Vulnerabilities and Exposures (CVE) идентифицировал
следующие уязвимости:
CAN-2003-0147
OpenSSL по умолчанию не использует "ослепление" RSA, что позволяет
локальным и удалённым нападающим получить частный ключ сервера.
CAN-2003-0131
SSL позволяет удалённым нападающим производить действия с
неавторизованным частным ключом RSA, что приведет к утечке из OpenSSL
информации, касающейся связи и соотношения между шифротекстом и
открытым текстом.
В стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 0.9.6c-2.woody.3.
В старом стабильном дистрибутиве (potato) эти проблемы исправлены
в версии 0.9.6c-0.potato.6.
В нестабильном дистрибутиве (sid) эти проблемы исправлены
в версии 0.9.7b-1 пакета openssl и версии 0.9.6j-1 пакета openssl096.
Мы рекомендуем вам немедленно обновить пакеты openssl и перезапустить
приложения, использующие OpenSSL.
К сожалению, "ослепление" RSA недостаточно надёжно работает с потоками,
и может вызвать ошибки в программах, использующих и потоки, и OpenSSL,
таких как stunnel. Тем не менее, поскольку предлагаемое исправление
меняет двоичный интерфейс (ABI), программы, связанные с OpenSSL
динамически, больше не будут работать. Это дилемма, которую мы не в
состоянии решить.
Вам придётся решить, хотите ли вы получить обновление, связанное
с безопасностью, ненадёжно работающее с потоками, и перекомпилировать
все приложения, которые не смогут работать после обновления, или же
загрузить дополнительные пакеты с исходным кодом в конце данного
предложения, перекомпилировать их и использовать библиотеку OpenSSL,
безопасно работающую с потоками, но также перекомпилировать все
приложения, использующие её (такие как apache-ssl, mod_ssl, ssh и т.д.).
Тем не менее, поскольку лишь очень немногие пакеты используют
потоки и связаны с OpenSSL, большинство пользователей смогут использовать
пакеты из этого обновления без каких-либо проблем.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
s390x:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
m68k:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
i686:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
hppa:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
sparc:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
alpha:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
ia64:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
mips:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
noarch:
ssleay - 0.9.6c-2.woody.3
mipsel:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
arm:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
Debian GNU/Linux 2.2:
ppc:
libssl-dev - 0.9.6c-0.potato.6
libssl0.9.6 - 0.9.6c-0.potato.6
openssl - 0.9.6c-0.potato.6
m68k:
libssl-dev - 0.9.6c-0.potato.6
libssl0.9.6 - 0.9.6c-0.potato.6
openssl - 0.9.6c-0.potato.6
noarch:
ssleay - 0.9.6c-0.potato.6
sparc:
libssl-dev - 0.9.6c-0.potato.6
libssl0.9.6 - 0.9.6c-0.potato.6
openssl - 0.9.6c-0.potato.6
alpha:
libssl-dev - 0.9.6c-0.potato.6
libssl0.9.6 - 0.9.6c-0.potato.6
openssl - 0.9.6c-0.potato.6
i686:
libssl-dev - 0.9.6c-0.potato.6
libssl0.9.6 - 0.9.6c-0.potato.6
openssl - 0.9.6c-0.potato.6
arm:
libssl-dev - 0.9.6c-0.potato.6
libssl0.9.6 - 0.9.6c-0.potato.6
openssl - 0.9.6c-0.potato.6
Debian GNU/Linux 3.0:
ppc:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
s390x:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
m68k:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
i686:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
hppa:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
sparc:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
alpha:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
ia64:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
mips:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
noarch:
ssleay - 0.9.6c-2.woody.3
mipsel:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
arm:
libssl-dev - 0.9.6c-2.woody.3
libssl0.9.6 - 0.9.6c-2.woody.3
openssl - 0.9.6c-2.woody.3
Debian GNU/Linux 2.2:
ppc:
libssl-dev - 0.9.6c-0.potato.6
libssl0.9.6 - 0.9.6c-0.potato.6
openssl - 0.9.6c-0.potato.6
m68k:
libssl-dev - 0.9.6c-0.potato.6
libssl0.9.6 - 0.9.6c-0.potato.6
openssl - 0.9.6c-0.potato.6
noarch:
ssleay - 0.9.6c-0.potato.6
sparc:
libssl-dev - 0.9.6c-0.potato.6
libssl0.9.6 - 0.9.6c-0.potato.6
openssl - 0.9.6c-0.potato.6
alpha:
libssl-dev - 0.9.6c-0.potato.6
libssl0.9.6 - 0.9.6c-0.potato.6
openssl - 0.9.6c-0.potato.6
i686:
libssl-dev - 0.9.6c-0.potato.6
libssl0.9.6 - 0.9.6c-0.potato.6
openssl - 0.9.6c-0.potato.6
arm:
libssl-dev - 0.9.6c-0.potato.6
libssl0.9.6 - 0.9.6c-0.potato.6
openssl - 0.9.6c-0.potato.6
Ссылки
http://www.debian.org/security/dsa-288/
Источник: CVE
Наименование: CVE-2003-0131
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0131
Источник: CVE
Наименование: CVE-2003-0147
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0147
Источник: CVE
Наименование: CVE-2003-0131
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0131
Источник: CVE
Наименование: CVE-2003-0147
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0147