Bulletin d'alerte Debian

DSA-2309-1 openssl -- Autorité de certification compromise

Date du rapport :
13 septembre 2011
Paquets concernés :
openssl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-1945.
Plus de précisions :

Plusieurs certificats SSL frauduleux ont été découverts dans la nature, émis par l'autorité de certification DigiNotar, obtenus à l'aide d'une faille de sécurité au sein de la société en question. Suite à plusieurs mises à jour à propos de cet incident, aucun certificat de signature émis par DigiNotar ne peut manifestement être considéré de confiance. Debian, comme d'autres distributeurs et vendeurs de logiciels, a décidé de ne plus faire confiance aux certificats racine de DigiNotar. Dans cette mise à jour, c'est réalisé dans la bibliothèques de cryptographie (un composant de la boîte à outils OpenSSL) en marquant ces certificats comme révoqués. Toutes les applications qui utilisent ce composant devraient maintenant rejeter les certificats signés par DigiNotar. Certaines applications pourraient permettre aux utilisateurs d'outrepasser cet échec de validation. Cependant, la mise en place d'exceptions est fortement déconseillée et devrait être soigneusement vérifiée.

De plus, une vulnérabilité a été découverte dans le chiffrement ECDHE_ECDS où les attaques temporelles permettent de déterminer plus facilement les clefs privées. Le projet « Common Vulnerabilities and Exposures » l'identifie en tant que CVE-2011-1945.

Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 0.9.8g-15+lenny12.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 0.9.8o-4squeeze2.

Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.0e-1.

Nous vous recommandons de mettre à jour vos paquets openssl.