Bulletin d'alerte Debian
DSA-2621-1 openssl -- Plusieurs vulnérabilités
- Date du rapport :
- 13 février 2013
- Paquets concernés :
- openssl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 699889.
Dans le dictionnaire CVE du Mitre : CVE-2013-0166, CVE-2013-0169. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans OpenSSL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2013-0166
OpenSSL ne réalise pas correctement de vérification de signature pour les réponses OCSP. Cela permet aux attaquants distants de provoquer un déni de service à l'aide d'une clef incorrecte.
- CVE-2013-0169
Une attaque temporelle par canal auxiliaire a été découverte dans le remplissage CBC, permettant à un attaquant de récupérer des morceaux en texte clair, à l'aide d'une analyse statistique de paquets contrefaits, connue sous le nom de problème du
treize chanceux
.
Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 0.9.8o-4squeeze14.
Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.1e-1.
Nous vous recommandons de mettre à jour vos paquets openssl.
- CVE-2013-0166