Bulletin d'alerte Debian

DLA-421-1 openssl -- Mise à jour de sécurité pour LTS

Date du rapport :
20 février 2016
Paquets concernés :
openssl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-3197.
Plus de précisions :
  • CVE-2015-3197:

    Un client malveillant peut négocier des chiffrements SSLv2 désactivés sur le serveur et achever des initialisations de connexion SSLv2 même si tous les chiffrements SSLv2 ont été désactivés, sous réserve que le protocole SSLv2 n’ait pas été aussi désactivé à l’aide de SSL_OP_NO_SSLv2.

De plus, lors de l’utilisation d’une suite de chiffrement DHE, une nouvelle clef DH sera toujours créée pour chaque connexion.

C’est la dernière mise à jour de sécurité pour la version pour Squeeze du paquet. La version 0.9.8 n’est plus prise en charge, et la prise en charge à long terme de Squeeze va bientôt se terminer. Si vous utilisez openssl, vous devriez mettre à niveau vers Wheezy ou plutôt vers Jessie. La version pour ces publications contient beaucoup d’améliorations de sécurité.