Bulletin d'alerte Debian

DSA-2782-1 polarssl -- Plusieurs vulnérabilités

Date du rapport :
20 octobre 2013
Paquets concernés :
polarssl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-4623, CVE-2013-5914, CVE-2013-5915.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans PolarSSL, une bibliothèque légère de cryptographie et SSL/TLS :

  • CVE-2013-4623

    Jack Lloyd a découvert une vulnérabilité de déni de service dans l'analyse de certificats encodés avec PEM.

  • CVE-2013-5914

    Paul Brodeur et TrustInSoft ont découvert un dépassement de tampon dans la fonction ssl_read_record(), permettant l'exécution potentielle de code arbitraire.

  • CVE-2013-5915

    Cyril Arnaud et Pierre-Alain Fouque ont découvert des attaques de timing contre l'implémentation de RSA.

Pour la distribution oldstable (Squeeze), ces problèmes seront bientôt corrigés dans la version 1.2.9-1~deb6u1 (à cause d'une limitation technique, les mises à jour ne peuvent être distribuées en même temps).

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.2.9-1~deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.3.1-1.

Nous vous recommandons de mettre à jour vos paquets polarssl.