Bulletin d'alerte Debian

DLA-1283-2 python-crypto -- LTS security update

Date du rapport :
9 avril 2018
Paquets concernés :
python-crypto
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

Il s'agit d'une mise à jour de la DLA-1283-1. Dans la DLA-1283-1, il est prétendu que le problème décrit dans le CVE-2018-6594 est corrigé. Il s'avère que la correction est partielle et l'amont a décidé de ne pas corriger ce problème dans la mesure où il pourrait rompre la compatibilité et où le chiffrement ElGamal n'est pas censé fonctionner tout seul.

La recommandation est toujours de mettre à niveau les paquets de python-crypto. En complément, veuillez tenir compte du fait que le correctif n'est pas complet. Si vous avez une application utilisant python-crypto qui implémente le chiffrement ElGamal, vous devriez envisager de passer à une autre méthode de chiffrement.

Il n'y aura pas d'autre mise à jour de python-crypto pour ce CVE spécifique. Un correctif pourrait rompre la compatibilité, le problème a été ignoré par l'équipe normale de sécurité de Debian du fait de son caractère mineur et qu'en plus, nous sommes près de la fin de vie de la prise en charge de sécurité de Weezy.

  • CVE-2018-6594

    python-crypto créait des paramètres de clé ElGamal faibles, ce qui permettait à des attaquants d'obtenir des informations sensibles en lisant des données de texte chiffré (c'est-à-dire, il n'avait pas de sécurité sémantique face à une attaque uniquement par texte chiffré).

Nous vous recommandons de mettre à jour vos paquets python-crypto.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 2.6-4+deb7u8.