Informations de sécurité / 2019 / Informations sur la sécurité -- DSA-4539-1 openssl

Bulletin d'alerte Debian

DSA-4539-1 openssl -- Mise à jour de sécurité

Date du rapport :

1^er octobre 2019

Paquets concernés :

openssl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-1547, CVE-2019-1549, CVE-2019-1563.

Plus de précisions :

Trois problèmes de sécurité ont été découverts dans OpenSSL : une attaque temporelle à l'encontre d'ECDSA, une attaque d'oracle par remplissage dans PKCS7_dataDecode() et CMS_decrypt_set1_pkey(), et il a été découvert qu'une fonction du générateur de nombres aléatoires (RNG), censée protéger contre le partage d'état du RNG entre les processus parent et enfant dans l'éventualité d'un appel système fork(), n'était pas utilisée par défaut.

Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 1.1.0l-1~deb9u1.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 1.1.1d-0+deb10u1.

Nous vous recommandons de mettre à jour vos paquets openssl.

Pour disposer d'un état détaillé sur la sécurité de openssl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/openssl.