Рекомендация Debian по безопасности
DSA-394-1 openssl095 -- уязвимость разбора ASN.1
- Дата сообщения:
- 11.10.2003
- Затронутые пакеты:
- openssl095
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 8732.
В каталоге Mitre CVE: CVE-2003-0543, CVE-2003-0544, CVE-2003-0545. - Более подробная информация:
-
Стив Хенсон (Steve Henson) из основной команды OpenSSL идентифицировал несколько уязвимостей в коде разбора ASN1 OpenSSL и подготовил их исправления. Уязвимости были обнаружены при выполнении тестов инструментария, разработанного Британским национальным центром координации инфраструктуры безопасности (British National Infrastructure Security Coordination Centre, NISCC).
Также идентифицирована ошибка в реализации протоколов SSL/TLS, приводящая к тому, что OpenSSL анализирует сертификат клиента SSL/TLS даже в случаях, когда он должен быть отвергнут из-за ошибки протокола.
Проект Common Vulnerabilities and Exposures идентифицировал следующие проблемы:
- CAN-2003-0543:
Выход за границы допустимых целочисленных значений в OpenSSL, позволяющий удалённому нападающему вызвать отказ в обслуживании (обвал) посредством сертификата клиента SSL с определёнными значениями тегов ASN.1.
- CAN-2003-0544:
OpenSSL неправильно отслеживает числа символов в некоторых входных текстах ASN.1, что позволяет удалённому нападающему вызвать отказ в обслуживании (обвал) посредством сертификата клиента SSL, заставляющего OpenSSL пытаться читать информацию за пределами буфера при использовании длинной формы.
- CAN-2003-0545:
Двукратное освобождение памяти позволяет удалённому нападающему вызвать отказ в обслуживании (обвал) и, возможно, выполнить произвольный код посредством сертификата клиента SSL с определённой неправильной кодировкой ASN.1. Эта ошибка присутствует только в OpenSSL 0.9.7 и перечислена здесь только для информации.
В стабильном дистрибутиве (woody) эта проблема исправлена в пакете openssl095 версии 0.9.5a-6.woody.3.
Этот пакет отсутствует в нестабильном (sid) и тестируемом (sarge) дистрибутивах.
Мы рекомендуем вам обновить пакеты libssl095a и перезапустить серверы, использующие эту библиотеку. Debian не содержит пакетов, скомпонованных с этой библиотекой.
Следующие команды (спасибо за предоставленную информацию Рэю Дэссену (Ray Dassen)) позволять получить список запущенных процессов, в адресное пространство которых отображается библиотека libssl095:
find /proc -name maps -exec egrep -l 'libssl095' {} /dev/null \; | sed -e 's/[^0-9]//g' | xargs --no-run-if-empty ps --no-headers -p | sed -e 's/^\+//' -e 's/ \+/ /g' | cut -d ' ' -f 5 | sort | uniqВам следует перезапустить соответствующие серверы.
- CAN-2003-0543:
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.3.dsc
- http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.3.diff.gz
- http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.3.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.