Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2622-1 polarssl

Bulletin d'alerte Debian

DSA-2622-1 polarssl -- Plusieurs vulnérabilités

Date du rapport :

13 février 2013

Paquets concernés :

polarssl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 699887.
Dans le dictionnaire CVE du Mitre : CVE-2013-0169, CVE-2013-1621, CVE-2013-1622.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans PolarSSL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2013-0169

  Une attaque temporelle par canal auxiliaire a été découverte dans le remplissage CBC, permettant à un attaquant de récupérer des morceaux en texte clair, à l'aide d'une analyse statistique de paquets contrefaits, connue sous le nom de problème du treize chanceux.

• CVE-2013-1621

  Une erreur d'indice de tableau pourrait permettre aux attaquants distants de provoquer un déni de service, à l'aide de moyens impliquant une valeur de taille de remplissage CBC contrefaite dans une session TLS.

• CVE-2013-1622

  Des données CBS contrefaites dans une session TLS pourraient permettre aux attaquants distants de mener des attaques par distinction, à l'aide d'une analyse statistique de données temporelles par canal auxiliaire pour paquets contrefaits.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 0.12.1-1squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.1.4-2.

Nous vous recommandons de mettre à jour vos paquets polarssl.