Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3417-1 bouncycastle

Bulletin d'alerte Debian

DSA-3417-1 bouncycastle -- Mise à jour de sécurité

Date du rapport :

14 décembre 2015

Paquets concernés :

bouncycastle

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 802671.
Dans le dictionnaire CVE du Mitre : CVE-2015-7940.

Plus de précisions :

Tibor Jager, Jörg Schwenk et Juraj Somorovsky, du Horst Görtz Institute for IT Security, ont publié un article dans ESORICS 2015 où ils décrivent une attaque par courbe incorrecte dans Bouncy Castle Crypto, une bibliothèque Java de chiffrage. Un attaquant est capable de récupérer des clés privées de type courbe elliptique à partir de différentes applications, par exemple, des serveurs TLS.

Pour davantage d'informations : http://web-in-security.blogspot.ca/2015/09/practical-invalid-curve-attaques.html
« Practical Invalid Curve Attacks on TLS-ECDH » : http://euklid.org/pdf/ECC_Invalid_Curve.pdf

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1.44+dfsg-3.1+deb7u1.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1.49+dfsg-3+deb8u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.51-2.

Nous vous recommandons de mettre à jour vos paquets bouncycastle.