Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2541-1 beaker

Säkerhetsbulletin från Debian

DSA-2541-1 beaker -- utlämnande av information

Rapporterat den:

2012-09-07

Berörda paket:

beaker

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 684890.
I Mitres CVE-förteckning: CVE-2012-3458.

Ytterligare information:

Man har upptäckt att Beaker, ett cache- och sessionsbibliotek för Python, vid användning av python-crypto-backend, är sårbart för avslöjande av information på grund av en kryptografisk svaghet relaterad till användningen av AES-skiffer i ECB-läge.

System som har paketet python-pycryptopp skall inte vara sårbara, eftersom denna backend föredras framför python-crypto.

Efter applicering av denna uppdatering kommer existerande sessioner att ogiltigförklaras.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.5.4-4+squeeze1.

För uttestningsutgåvan (Wheezy), och den instabila utgåvan (Sid) har detta problem rättats i version 1.6.3-1.1.

Vi rekommenderar att ni uppgraderar era beaker-paket.