LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-0008-1 openssl

Bulletin d'alerte Debian

DLA-0008-1 openssl -- Mise à jour de sécurité pour LTS

Date du rapport :

20 juin 2014

Paquets concernés :

openssl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-0224, CVE-2012-4929.

Plus de précisions :

• CVE-2014-0224

  Cette mise à jour applique le correctif amont pour le CVE-2014-0224 pour traiter les problèmes avec une renégociation sous certaines conditions.

  Texte original : KIKUCHI Masashi a découvert que des négociations de connexion soigneusement contrefaites pouvaient obliger à l'utilisation de clés faibles, résultant dans de potentielles attaques du type « homme du milieu ».

• CVE-2012-4929

  La compression ZLIB est maintenant désactivée par défaut. Si vous avez besoin de la réactiver pour une raison quelconque, vous pouvez affecter la variable d'environnement OPENSSL_NO_DEFAULT_ZLIB.

Il est important de mettre à niveau le paquet libssl0.9.8 et pas uniquement le paquet openssl.

Toutes les applications liées à openssl doivent être redémarrées. Vous pouvez utiliser l'outil checkrestart du paquet debian-goodies pour détecter les programmes affectés ou redémarrer votre système.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 0.9.8o-4squeeze16 d'openssl.