[Fedora] Schwachstelle in OpenSSL (mingw32) – FEDORA-2011-5878

[Fedora] Schwachstelle in OpenSSL (mingw32) - FEDORA-2011-5878

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-0014 – Schwachstelle in OpenSSL

Ein Fehler in OpenSSL (ssl/t1_lib.c) beim Parsen der “ClientHello”
Handshake-Nachricht fuehrt dazu, dass falsch formatierte Nachrichten des
genannten Typs ermoeglichen, dass ueber das Ende der Nachricht hinaus
geparsed wird. Dies ermoeglicht einem entfernten Angreifer die
Applikation, die OpenSSL verwendet, durch einen ungueltigen
Speicherzugriff, zum Absturz zu bringen. In einigen Faellen ist es auch
moeglich, dass die Speicherinhalte einer OCSCP “nonce-Erweiterung”
ausgelesen werden koennen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket mingw32-openssl

Fedora 15

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Timo Schulz

– —
Timo Schulz, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-5878
2011-04-24 01:45:58
– ——————————————————————————–

Name : mingw32-openssl
Product : Fedora 15
Version : 1.0.0d
Release : 1.fc15
URL : http://www.openssl.org/
Summary : MinGW port of the OpenSSL toolkit
Description :
The OpenSSL toolkit provides support for secure communications between
machines. OpenSSL includes a certificate management tool and shared
libraries which provide various cryptographic algorithms and
protocols.

This package contains Windows (MinGW) libraries and development tools.

– ——————————————————————————–
Update Information:

This update contains fixes for CVE-2011-0014 openssl: OCSP stapling vulnerability.
– ——————————————————————————–
References:

[ 1 ] Bug #676063 – CVE-2011-0014 openssl: OCSP stapling vulnerability
https://bugzilla.redhat.com/show_bug.cgi?id=676063
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update mingw32-openssl’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iQEcBAEBAgAGBQJNumzNAAoJEJtyb8U7iGZBBmEH/i0JIeRhqAM9r6t8OjpACnkZ
y4P5qyjqh5UTDoJY9kN3c3jfMmWC8kgHmvkwx9gEaBvxetrbS0NDgyx4SDXw30b9
M1PzhBzEP5HqSmUNE8NMvGZtq03QXIqFdUL2o48peSnKTjPhnWhq+Oh8sZLF/bdF
cXXU81jm8O10kICVjPlEvKsaUGaLvGJLaxqdDgpy2R1fivLwRiOgLqhxqahX8o0X
CtM/Ngu35J9hWfJamV+e5NfSqyulVprHPMrPJCLZbv9/zVKvwt8qZZA3RWLj/ezl
FjpqgmilMSk9qAIFnznK+1XelzvkwN04YTmyMSwd/QPZjvZ0Oh6SNY2U37x2uUo=
=oxSm
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben