DFN-CERT-2015-0943 Crypto++ Bibliothek: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian]

DFN-CERT-2015-0943 Crypto++ Bibliothek: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Crypto++ Library <= 5.6.1 Betroffene Plattformen: Debian Linux 7.8 Wheezy Debian Linux 8.1 Jessie Debian Linux 9.0 Stretch Durch das Ausnutzen einer Schwachstelle in libcrypto++ kann ein entfernter, nicht authentisierter Angreifer einen privaten Signatur-Schlüssel ausspähen. Für die Linux-Distributionen Debian Wheey (7.8), Jessie (8.1) und Stretch (9.0) werden Sicherheitsupdates zur Verfügung gestellt. Patch: Debian Security Advisory DSA-3296-1 https://www.debian.org/security/2015/dsa-3296

CVE-2015-2141: Schwachstelle in Crypto++ erlaubt das Ausspähen von
Informationen

Eine Schwachstelle in libcrypto++, einer universell verwendbaren C++
Kryptographie-Bibliothek, besteht darin, dass in dieser das Maskieren von
Private Key-Operationen für den Rabin-Williams Signatur-Algorithmus nicht
korrekt implementiert wurde. Hierdurch ist es möglich, einen Timing-Angriff
durchzuführen und den privaten Schlüssel des Benutzers zu erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0943/

Debian Security Advisory DSA-3296-1:
https://www.debian.org/security/2015/dsa-3296

Schwachstelle CVE-2015-2141 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2141

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben