Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3967-1 mbedtls

Bulletin d'alerte Debian

DSA-3967-1 mbedtls -- Mise à jour de sécurité

Date du rapport :

8 septembre 2017

Paquets concernés :

mbedtls

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 873557.
Dans le dictionnaire CVE du Mitre : CVE-2017-14032.

Plus de précisions :

Une vulnérabilité de contournement d'authentification a été découverte dans mbed TLS, une bibliothèque légère de chiffrement et SSL/TLS, lorsque le mode d'authentification est configuré comme optionnel. Un attaquant distant peut tirer avantage de ce défaut pour monter une attaque de type « homme du milieu » et se faire passer pour un pair attendu à l'aide d'une chaîne de certificats X.509 avec de nombreux intermédiaires.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 2.4.2-1+deb9u1.

Pour la distribution testing (Buster), ce problème a été corrigé dans la version 2.6.0-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.6.0-1.

Nous vous recommandons de mettre à jour vos paquets mbedtls.