Bulletin d'alerte Debian
DSA-2622-1 polarssl -- Plusieurs vulnérabilités
- Date du rapport :
- 13 février 2013
- Paquets concernés :
- polarssl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 699887.
Dans le dictionnaire CVE du Mitre : CVE-2013-0169, CVE-2013-1621, CVE-2013-1622. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans PolarSSL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2013-0169
Une attaque temporelle par canal auxiliaire a été découverte dans le remplissage CBC, permettant à un attaquant de récupérer des morceaux en texte clair, à l'aide d'une analyse statistique de paquets contrefaits, connue sous le nom de problème du
treize chanceux
. - CVE-2013-1621
Une erreur d'indice de tableau pourrait permettre aux attaquants distants de provoquer un déni de service, à l'aide de moyens impliquant une valeur de taille de remplissage CBC contrefaite dans une session TLS.
- CVE-2013-1622
Des données CBS contrefaites dans une session TLS pourraient permettre aux attaquants distants de mener des attaques par distinction, à l'aide d'une analyse statistique de données temporelles par canal auxiliaire pour paquets contrefaits.
Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 0.12.1-1squeeze1.
Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.1.4-2.
Nous vous recommandons de mettre à jour vos paquets polarssl.
- CVE-2013-0169