Debian-Sicherheitsankündigung

DSA-394-1 openssl095 -- ASN.1-Parsing-Verwundbarkeit

Datum des Berichts:

11. Okt 2003

Betroffene Pakete:

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 8732.
In Mitres CVE-Verzeichnis: CVE-2003-0543, CVE-2003-0544, CVE-2003-0545.

Weitere Informationen:

Steve Henson vom OpenSSL-Kernteam identifizierte und erstellte Korrekturen für eine Reihe von Verwundbarkeiten im OpenSSL-ASN1-Code, die durch die Benutzung einer Test-Suite des British National Infrastructure Security Coordination Centre (NISCC) entdeckt wurden.

Es wurde auch ein Fehler in OpenSSLs SSL/TLS-Protokoll identifiziert, durch den OpenSSL ein Client-Zertifikat eines SSL/TLS-Client parst, obwohl es es als Protokoll-Fehler zurückweisen sollte.

Das Common Vulnerabilities and Exposures-Projekt identifizierte die folgenden Probleme:

CAN-2003-0543:
Integer-Überlauf in OpenSSL, der es entfernten Angreifern erlaubt, eine Diensteverweigerung (Denial of Service) (durch Crash) über ein SSL-Client-Zertifikat mit bestimmten ASN.1-Tag-Werten auszulösen.
CAN-2003-0544:
OpenSSL verfolgt nicht genau die Anzahl der Zeichen in einigen ASN.1-Eingaben, was es entfernten Angreifern erlaubt, eine Diensteverweigerung (Denial of Service) (durch Crash) durch Verwendung eines SSL-Client-Zertifikats, das OpenSSL veranlasst, hinter das Ende des Puffers zu lesen, wenn die lange Form benutzt wird, auszulösen.
CAN-2003-0545:
Eine Double-Free-Verwundbarkeit erlaubt es entfernten Angreifern, eine Diensteverweigerung (Denial of Service) (durch Crash) auszulösen und eventuell beliebigen Code auszuführen durch ein SSL-Client-Zertifikat mit einer bestimmten ungültigen ASN.1-Codierung. Dieser Fehler war nur in OpenSSL 0.9.7 präsent und wird hier nur der Vollständigkeit halber aufgeführt.

Für die stable Distribution (Woody) wurden diese Probleme in openssl095, Version 0.9.5a-6.woody.3 behoben.

Dieses Paket ist nicht in der unstable (Sid) oder testing (Sarge) Distribution enthalten.

Wir empfehlen Ihnen, Ihr libssl095a-Paket zu aktualisieren und Dienste, die diese Bibliothek benutzen, neu zu starten. Debian enthält keine Pakete, die gegen diese Bibliothek gelinkt sind.

Die folgende Kommandozeile (zur Verfügung gestellt von Ray Dassen) erstellt eine Liste aller laufenden Prozesse, die libssl095 in ihren Speicherbereich gemappt haben:

    find /proc -name maps -exec egrep -l 'libssl095' {} /dev/null \; | sed -e 's/[^0-9]//g' | xargs --no-run-if-empty ps --no-headers -p | sed -e 's/^\+//' -e 's/ \+/ /g' | cut -d ' ' -f 5 | sort | uniq

Sie sollten die zugehörigen Dienste neu starten.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.3.dsc; http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.3.diff.gz; http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.