Bulletin d'alerte Debian

DLA-176-1 mono -- Mise à jour de sécurité pour LTS

Date du rapport :
19 mars 2015
Paquets concernés :
mono
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 780751.
Dans le dictionnaire CVE du Mitre : CVE-2015-2318, CVE-2015-2319, CVE-2015-2320.
Plus de précisions :

Trois problèmes de la pile TLS de Mono sont corrigés.

  • CVE-2015-2318

    L'implémentation de Mono de la pile SSL/TLS échouait à analyser l'ordre des messages de l’initialisation de connexion. Cela pourrait permettre la réussite de diverses attaques contre le protocole (« SKIP-TLS »).

  • CVE-2015-2319

    L'implémentation de Mono de SSL/TLS contenait aussi la prise en charge de chiffrements EXPORT faibles et était vulnérable à une attaque de type « FREAK ».

  • CVE-2015-2320

    Mono contenait un code de repli SSLv2 qui n'est plus nécessaire et peut être considéré comme non sûr.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans mono version 2.6.7-5.1+deb6u1