Das OpenSSL Entwicklungsteam hat angekündigt, dass eine Sicherheitsprüfung durch A.L. Digital Ltd and The Bunker mit dem DARPA CHATS Programm entfernt ausnutzbare Pufferüberlauf-Fälle im OpenSSL-Code entdeckt hat. Zusätzlich bietet der ASN1-Parser in OpenSSL Angriffsfläche für einen potenziellen DoS, der unabhängig von Adi Stav und James Yonan entdeckt wurde.
CAN-2002-0655 verweist auf Überläufe in Puffern, die ASCII-Repräsentanten von Integern auf 64bit-Plattformen aufnehmen sollten. CAN-2002-0656 verweist auf Pufferüberläufe in der SSL2 Server-Implementierung (durch das Senden eines ungültigen Schlüssels an den Server) und der SSL3 Client-Implementierung (durch das Senden einer großen Session-ID an den Client). Das SSL2-Problem wurde ebenfalls von Neohapsis bemerkt, der privat Ausbeutungscode für dieses Problem demonstriert hat. CAN-2002-0659 verweist auf das ASN1-Parser DoS-Problem.
Diese Verwundbarkeiten wurden für Debian 3.0 (Woody) in openssl094_0.9.4-6.woody.2, openssl095_0.9.5a-6.woody.1 und openssl_0.9.6c-2.woody.1 behoben.
Die Verwundbarkeiten sind ebenfalls in Debian 2.2 (Potato) vorhanden. Reparierte Pakete sind mit openssl094_0.9.4-6.potato.2 und openssl_0.9.6c-0.potato.4 verfügbar.
Ein Wurm nutzt aktiv dieses Problem auf ans Internet angebundenen Rechnern aus; wir empfehlen Ihnen, Ihr OpenSSL so rasch wie möglich zu aktualisieren. Beachten Sie, dass Sie jegliche Daemonen neu starten müssen, die SSL verwenden. (Z.B. ssh oder Apache-Server mit ssl-Unterstützung.) Wenn Sie sich unsicher sind, welche Programme SSL verwenden, mögen Sie eventuell einen Reboot in Erwägung ziehen, um sicher zu gehen, dass alle laufenden Daemonen die neuen Bibliotheken verwenden.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.
MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.
MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.