セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2541-1 beaker

Debian セキュリティ勧告

DSA-2541-1 beaker -- 情報の漏洩

報告日時:

2012-09-07

影響を受けるパッケージ:

beaker

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 684890.
Mitre の CVE 辞書: CVE-2012-3458.

詳細:

Python のキャッシュとセッションのライブラリである Beaker は、後方処理に python-crypto を使うと AES 暗号を ECB モードで使う場合に関係する暗号学的な 弱点のせいで、情報漏洩の面で脆弱であることが判明しました。

python-pycryptopp パッケージも後方処理ですが、 python-crypto より優先して 使われるので、これを備えたシステムは脆弱ではないはずです。

本更新を適用した後は，現有のセッションが無効化されます。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 1.5.4-4+squeeze1 で修正されています。

テスト版 (wheezy) および不安定版 (sid) ディストリビューションでは、 これらの問題はバージョン 1.6.3-1.1 で修正されています。

直ぐに beaker パッケージをアップグレードすることを勧めます。