Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3296-1 libcrypto++

Bulletin d'alerte Debian

DSA-3296-1 libcrypto++ -- Mise à jour de sécurité

Date du rapport :

29 juin 2015

Paquets concernés :

libcrypto++

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-2141.

Plus de précisions :

Evgeny Sidorov a découvert que libcrypto++, une bibliothèque généraliste de cryptographie en C++, n'implémentait pas correctement l'aveuglement (blinding) pour masquer les opérations de clé privée pour l'algorithme de signature numérique Rabin-Williams. Cela pourrait permettre à des attaquants distants de monter une attaque temporelle et de récupérer la clé privée de l'utilisateur.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 5.6.1-6+deb7u1.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 5.6.1-6+deb8u1.

Pour la distribution testing (Stretch), ce problème sera corrigé dans la version 5.6.1-7.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.6.1-7.

Nous vous recommandons de mettre à jour vos paquets libcrypto++.