LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2433-1 bouncycastle

Bulletin d'alerte Debian

DLA-2433-1 bouncycastle -- Mise à jour de sécurité pour LTS

Date du rapport :

5 novembre 2020

Paquets concernés :

bouncycastle

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-26939.

Plus de précisions :

Il a été découvert qu’il existait un problème dans la bibliothèque de chiffrement bouncycastle par lequel des attaquants pouvaient obtenir des informations sensibles à cause de différences perceptibles dans sa réponse à une entrée non valable.

• CVE-2020-26939

  Dans Legion of the Bouncy Castle BC avant la version 1.55 et BC-FJA avant la version 1.0.1.2, des attaquants pouvaient obtenir des informations sensibles à propos d’un exposant privé à cause d’une différence perceptible dans le comportement lors d’entrées erronées. Cela se produit dans org.bouncycastle.crypto.encodings.OAEPEncoding. L’envoi d’un texte chiffré non valable se déchiffrant en des données utiles brèves dans le décodeur OAEP pourrait aboutir à l’envoi d’une exception précoce, divulguant éventuellement quelques informations sur l’exposant privé de la clé RSA privée réalisant le chiffrement.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1.56-1+deb9u3.

Nous vous recommandons de mettre à jour vos paquets bouncycastle.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.