Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2833-1 openssl

Bulletin d'alerte Debian

DSA-2833-1 openssl -- Plusieurs vulnérabilités

Date du rapport :

1^er janvier 2014

Paquets concernés :

openssl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 732754, Bogue 732710.
Dans le dictionnaire CVE du Mitre : CVE-2013-6449, CVE-2013-6450.

Plus de précisions :

Plusieurs problèmes de sécurité ont été corrigés dans OpenSSL : la prise en charge de TLS 1.2 était vulnérable à un déni de service et la retransmission de messages DTLS a été corrigée. De plus, cette mise à jour désactive l'algorithme Dual_EC_DRBG non sûr (et qui n'était pas utilisé, consultez http://marc.info/?l=openssl-announce&m=138747119822324&w=2 pour de plus amples informations) et n'utilise plus la fonctionnalité RdRand, disponible sur certains processeurs Intel, comme seule source d'entropie sauf demande explicite.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.1e-5.

Nous vous recommandons de mettre à jour vos paquets openssl.