LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-507-1 nss

Bulletin d'alerte Debian

DLA-507-1 nss -- Mise à jour de sécurité pour LTS

Date du rapport :

7 juin 2016

Paquets concernés :

nss

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-4000.

Plus de précisions :

Une vulnérabilité a été découverte dans nss.

• CVE-2015-4000

  Avec les versions du protocole TLS 1.2 et antérieures, quand un ensemble de chiffrement DHE_EXPORT est activé sur un serveur mais pas sur un client, TLS ne transmet pas correctement un choix DHE_EXPORT. Cela permet à des attaquants de type « homme du milieu » de conduire des attaques de dégradation de chiffrement en réécrivant un « ClientHello » en remplaçant DHE par DHE_EXPORT et ensuite en réécrivant un « ServerHello » avec DHE_EXPORT remplacé par DHE, c'est-à-dire le problème appelé Logjam.

  La solution dans nss était de ne pas accepter des largeurs inférieures à 1024 bits. Cela peut éventuellement être un problème de rétrocompatibilité mais ces faibles largeurs ne devraient pas être utilisées, aussi la solution devrait être considérée comme acceptable.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2:3.14.5-1+deb7u7.

Nous vous recommandons de mettre à jour vos paquets nss.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.