Alert GCSA-08044 - Vulnerabilita' in Openssl per Debian
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-08044
Data : 14 maggio 2008
Titolo : Vulnerabilita' in Openssl per Debian
******************************************************************
:: Descrizione del problema
Debian ha rilasciato un aggiornamento del pacchetto OpenSSL per
risolvere alcune vulnerabilita' presenti nel modulo di generazione
di numeri casuali e nell'implementazione del protocollo DTLS
(udp over ssl).
La prima vulnerabilita' puo' essere sfruttata da un attaccante per
predire i numeri causali usati per la generazione di chiavi
crittografiche impiegate da varie applicazioni quali: SSH, OpenVPN,
DNSSEC, certificati X.509 e connessioni SSL/TLS.
Tale vulnerabilita' e' stata rilevata a partire dalla versione
0.9.8c-1 ed e' stata risolta a partire dalla versione 0.9.8c-4etch3.
La seconda vulnerabilita' puo' essere sfruttata da un attaccante per
causare un Denial of Service e compromettere un sistema vulnerabile.
:: Software interessato
Sistemi Debian:
- stable distribution (etch), versioni precedenti alla
0.9.8c-4etch3.
- unstable distribution (sid) e testing distribution (lenny),
versioni precedenti alla 0.9.8g-9.
La versione old-stable distribution di Debian (sarge) non risulta
affetta dalla vulnerabilita' in questione.
:: Impatto
Security Bypass
Denial of service
Accesso al sistema
:: Soluzioni
Aggiornare il pacchetto OpenSSL alla versione non vulnerabile e
rigenarare le chiave crittografiche create con le versioni
vulnerabili. Maggiori informazioni saranno disponibili prossimamente
sul sito Debian: http://www.debian.org/security/key-rollover/
:: Riferimenti
Debian advisory:
http://lists.debian.org/debian-security-announce/2008/msg00152.html
SecurityFocus:
http://www.securityfocus.com/bid/29179
Secunia:
http://secunia.com/advisories/30220/
CVE Mitre:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3108
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4995
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0166
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSCrjO/OB+SpikaiRAQJrIAP7Bj9hSTGQ2kzZZ+fhFypwdwMKn0GH3qfX
HutA+qeWhHGzX3I5fgzhN5xCHw0Um9Ua8yUyLLqjAFPYxhfWgIu7XFeWHaDiQwWs
iHr94QHBX+IzYH0SQM02QBJhp6Qm3Z5O9qhW9H7iFw6upRYG6SMgQ6D4E4gU50lJ
NNB1eij5TF8=
=ftBw
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-08044
Data : 14 maggio 2008
Titolo : Vulnerabilita' in Openssl per Debian
******************************************************************
:: Descrizione del problema
Debian ha rilasciato un aggiornamento del pacchetto OpenSSL per
risolvere alcune vulnerabilita' presenti nel modulo di generazione
di numeri casuali e nell'implementazione del protocollo DTLS
(udp over ssl).
La prima vulnerabilita' puo' essere sfruttata da un attaccante per
predire i numeri causali usati per la generazione di chiavi
crittografiche impiegate da varie applicazioni quali: SSH, OpenVPN,
DNSSEC, certificati X.509 e connessioni SSL/TLS.
Tale vulnerabilita' e' stata rilevata a partire dalla versione
0.9.8c-1 ed e' stata risolta a partire dalla versione 0.9.8c-4etch3.
La seconda vulnerabilita' puo' essere sfruttata da un attaccante per
causare un Denial of Service e compromettere un sistema vulnerabile.
:: Software interessato
Sistemi Debian:
- stable distribution (etch), versioni precedenti alla
0.9.8c-4etch3.
- unstable distribution (sid) e testing distribution (lenny),
versioni precedenti alla 0.9.8g-9.
La versione old-stable distribution di Debian (sarge) non risulta
affetta dalla vulnerabilita' in questione.
:: Impatto
Security Bypass
Denial of service
Accesso al sistema
:: Soluzioni
Aggiornare il pacchetto OpenSSL alla versione non vulnerabile e
rigenarare le chiave crittografiche create con le versioni
vulnerabili. Maggiori informazioni saranno disponibili prossimamente
sul sito Debian: http://www.debian.org/security/key-rollover/
:: Riferimenti
Debian advisory:
http://lists.debian.org/debian-security-announce/2008/msg00152.html
SecurityFocus:
http://www.securityfocus.com/bid/29179
Secunia:
http://secunia.com/advisories/30220/
CVE Mitre:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3108
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4995
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0166
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSCrjO/OB+SpikaiRAQJrIAP7Bj9hSTGQ2kzZZ+fhFypwdwMKn0GH3qfX
HutA+qeWhHGzX3I5fgzhN5xCHw0Um9Ua8yUyLLqjAFPYxhfWgIu7XFeWHaDiQwWs
iHr94QHBX+IzYH0SQM02QBJhp6Qm3Z5O9qhW9H7iFw6upRYG6SMgQ6D4E4gU50lJ
NNB1eij5TF8=
=ftBw
-----END PGP SIGNATURE-----