1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
|
<define-tag description>ASN.1-Parsing-Verwundbarkeit</define-tag>
<define-tag moreinfo>
<p>Steve Henson vom OpenSSL-Kernteam identifizierte und erstellte
Korrekturen für eine Reihe von Verwundbarkeiten im OpenSSL-ASN1-Code,
die durch die Benutzung einer Test-Suite des <q>British National
Infrastructure Security Coordination Centre (NISCC)</q> entdeckt wurden.</p>
<p>Es wurde auch ein Fehler in OpenSSLs SSL/TLS-Protokoll
identifiziert, durch den OpenSSL ein Client-Zertifikat eines
SSL/TLS-Client parst, obwohl es es als Protokoll-Fehler zurückweisen
sollte.</p>
<p>Das <q>Common Vulnerabilities and Exposures</q>-Projekt identifizierte
die folgenden Probleme:</p>
<ul>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0543">CAN-2003-0543</a>:
<p>Integer-Überlauf in OpenSSL, der es entfernten Angreifern erlaubt,
eine Diensteverweigerung (<q>Denial of Service</q>) (durch Crash) über ein SSL-Client-Zertifikat
mit bestimmten ASN.1-Tag-Werten auszulösen.</p>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0544">CAN-2003-0544</a>:
<p>OpenSSL verfolgt nicht genau die Anzahl der Zeichen in einigen
ASN.1-Eingaben, was es entfernten Angreifern erlaubt, eine
Diensteverweigerung (<q>Denial of Service</q>) (durch Crash) durch Verwendung eines
SSL-Client-Zertifikats, das OpenSSL veranlasst, hinter das Ende des
Puffers zu lesen, wenn die lange Form benutzt wird, auszulösen.</p>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0545">CAN-2003-0545</a>:
<p>Eine Double-Free-Verwundbarkeit erlaubt es entfernten Angreifern,
eine Diensteverweigerung (<q>Denial of Service</q>) (durch Crash) auszulösen und eventuell
beliebigen Code auszuführen durch ein SSL-Client-Zertifikat mit einer
bestimmten ungültigen ASN.1-Codierung. Dieser Fehler war nur in
OpenSSL 0.9.7 präsent und wird hier nur der Vollständigkeit halber
aufgeführt.</p>
</ul>
<p>Für die stable Distribution (Woody) wurden diese Probleme in
openssl095, Version 0.9.5a-6.woody.3 behoben.</p>
<p>Dieses Paket ist nicht in der unstable (Sid) oder testing (Sarge)
Distribution enthalten.</p>
<p>Wir empfehlen Ihnen, Ihr libssl095a-Paket zu aktualisieren
und Dienste, die diese Bibliothek benutzen, neu zu starten. Debian
enthält keine Pakete, die gegen diese Bibliothek gelinkt sind.</p>
<p>Die folgende Kommandozeile (zur Verfügung gestellt von Ray Dassen)
erstellt eine Liste aller laufenden Prozesse, die libssl095 in ihren
Speicherbereich gemappt haben:</p>
<pre>
find /proc -name maps -exec egrep -l 'libssl095' {} /dev/null \; \
| sed -e 's/[^0-9]//g' | xargs --no-run-if-empty ps --no-headers -p | \
sed -e 's/^\+//' -e 's/ \+/ /g' | cut -d ' ' -f 5 | sort | uniq
</pre>
<p>Sie sollten die zugehörigen Dienste neu starten.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-394.data"
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
|
