Bulletin d'alerte Debian
DSA-881-1 openssl096 -- Faiblesse du chiffrement
- Date du rapport :
- 4 novembre 2005
- Paquets concernés :
- openssl096
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2005-2969.
- Plus de précisions :
-
Yutaka Oiwa a découvert une vulnérabilité dans la bibliothèque OpenSSL. Cette vulnérabilité pouvait permettre à un attaquant d'abaisser la version du protocole utilisée, ce qui pouvait mener à l'utilisation du protocole plus faible SSL 2.0 même si SSL 3.0 ou TLS 1.0 sont gérés aux deux extrémités.
Le tableau suivant explique pour chaque distribution quelle version contient la correction :
ancienne stable (Woody) stable (Sarge) instable (Sid) openssl 0.9.6c-2.woody.8 0.9.7e-3sarge1 0.9.8-3 openssl094 0.9.4-6.woody.4 N.D. N.D. openssl095 0.9.5a-6.woody.6 N.D. N.D. openssl096 N.D. 0.9.6m-1sarge1 N.D. openssl097 N.D. N.D. 0.9.7g-5 Nous vous recommandons de mettre à jour vos paquets libssl.
- Corrigé dans :
-
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m-1sarge1.dsc
- http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m-1sarge1.diff.gz
- http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m-1sarge1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.