Bulletin d'alerte Debian

DSA-2622-1 polarssl -- Plusieurs vulnérabilités

Date du rapport :
13 février 2013
Paquets concernés :
polarssl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 699887.
Dans le dictionnaire CVE du Mitre : CVE-2013-0169, CVE-2013-1621, CVE-2013-1622.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans PolarSSL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2013-0169

    Une attaque temporelle par canal auxiliaire a été découverte dans le remplissage CBC, permettant à un attaquant de récupérer des morceaux en texte clair, à l'aide d'une analyse statistique de paquets contrefaits, connue sous le nom de problème du treize chanceux.

  • CVE-2013-1621

    Une erreur d'indice de tableau pourrait permettre aux attaquants distants de provoquer un déni de service, à l'aide de moyens impliquant une valeur de taille de remplissage CBC contrefaite dans une session TLS.

  • CVE-2013-1622

    Des données CBS contrefaites dans une session TLS pourraient permettre aux attaquants distants de mener des attaques par distinction, à l'aide d'une analyse statistique de données temporelles par canal auxiliaire pour paquets contrefaits.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 0.12.1-1squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.1.4-2.

Nous vous recommandons de mettre à jour vos paquets polarssl.