Bulletin d'alerte Debian

DSA-2502-1 python-crypto -- Erreur de programmation

Date du rapport :
24 juin 2012
Paquets concernés :
python-crypto
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-2417.
Plus de précisions :

Le code ElGamal de PythonCrypto, un ensemble d'algorithmes et de protocoles cryptographiques pour Python, utilisait des nombres premiers non suffisamment sécurisés pour la génération de clefs, avec pour conséquence une signature ou un espace de clef publique affaiblis, facilitant les attaques par force brute sur de telles clefs.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.1.0-2+squeeze1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.6-1.

Nous vous recommandons de mettre à jour vos paquets python-crypto. Après l'installation de cette mise à jour, les clefs générées précédemment doivent être regénérées.