LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2015 / Informations sur la sécurité -- DLA-262-1 libcrypto++

Bulletin d'alerte Debian

DLA-262-1 libcrypto++ -- Mise à jour de sécurité pour LTS

Date du rapport :

30 juin 2015

Paquets concernés :

libcrypto++

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-2141.

Plus de précisions :

Evgeny Sidorov a découvert que libcrypto++, une bibliothèque généraliste de cryptographie en C++, n'implémentait pas correctement l'aveuglement (« blinding ») pour masquer les opérations de clé privée pour l'algorithme de signature numérique Rabin-Williams. Cela pourrait permettre à des attaquants distants de monter une attaque temporelle et de récupérer la clé privée de l'utilisateur.