Aviso de seguridad de Debian

DSA-394-1 openssl095 -- vulnerabilidad en el análisis de ASN.1

Fecha del informe:

11 de oct de 2003

Paquetes afectados:

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 8732.
En el diccionario CVE de Mitre: CVE-2003-0543, CVE-2003-0544, CVE-2003-0545.

Información adicional:

Steve Henson, del equipo central de desarrollo de OpenSSL, identificó y preparó correcciones para varias vulnerabilidades del código ASN1 de OpenSSL, que fueron descubiertas tras correr una suite de pruebas del Centro de Coordinación de Seguridad de Infraestructuras Nacional británico (NISCC).

También se identificó un error en el protocolo SSL/TLS, que causaba que OpenSSL analizara el certificado de un cliente SSL/TLS en vez de rechazarlo como un error del protocolo.

El proyecto Exposiciones y Vulnerabilidades Comunes (n.t. CVE) identificó los siguienes problemas:

CAN-2003-0543:
Desbordamiento de entero en OpenSSL que permitía a los atacantes remotos provocar una denegación de servicio (por caída) por medio de un certificado SSL de clente con unos valores determinados en ciertas etiquetas ASN.1.
CAN-2003-0544:
OpenSSL no recogía adecuadamente el número de caracteres de varias entradas ASN.1, lo que permitía a los atacantes remotos provocar una denegación de servicio (por caída) por medio de un certificado SSL de cliente que provocara que OpenSSL leyera más allá del final de un buffer cuando se usaba la forma larga.
CAN-2003-0545:
Una vulnerabilidad de doble liberación permitía a los atacantes remotos provocar una denegación de servicio (por caída) y posiblemente ejecutar código arbitrario vía un certificado SSL de cliente con una determinada codificación ASN.1 no válida. Este error sólo estaba presente en OpenSSL 0.9.7 y se lista aquí sólo como referencia.

Para la distribución estable (woody), este problema se ha corregido en la versión 0.9.5a-6.woody.3 de openssl0.95.

Este paquete no está ni en la distribución inestable (sid), ni en testing (sarge).

Le recomendamos que actualice los paquetes de libssl095a y reinicie los servicios que usen esta biblioteca. Debian no publica ningún paquete que se enlace con esta biblioteca.

La línea de comandos que se reproduce a continuación (cortesía de Ray Dassen) produce una lista con los nombres de los procesos que están corriendo y que tienen libssl095 mapeado en su espacio de memoria:

    find /proc -name maps -exec egrep -l 'libssl095' {} /dev/null \; | sed -e 's/[^0-9]//g' | xargs --no-run-if-empty ps --no-headers -p | sed -e 's/^\+//' -e 's/ \+/ /g' | cut -d ' ' -f 5 | sort | uniq

Debería reiniciar los servicios asociados.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:: http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.3.dsc; http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.3.diff.gz; http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.