Bulletin d'alerte Debian

DLA-173-1 putty -- Mise à jour de sécurité pour LTS

Date du rapport :
15 mars 2015
Paquets concernés :
putty
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 779488.
Dans le dictionnaire CVE du Mitre : CVE-2015-2157.
Plus de précisions :

MATTA-2015-002

Florent Daigniere a découvert que PuTTY n'imposait pas un intervalle acceptable pour la valeur du serveur Diffie-Hellman, comme l'exige la RFC 4253, permettant éventuellement l'établissement d'une connexion interceptable dans l'éventualité d'une vulnérabilité de serveur.

#779488, CVE-2015-2157

Patrick Coleman a découvert que PuTTY n'effaçait pas de la mémoire les informations de clés privées SSH-2 lors du chargement et de l'enregistrement des fichiers de clés, ce qui pourrait avoir pour conséquence la divulgation de données de clés privées.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans putty version 0.60+2010-02-20-1+squeeze3