Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2141-1 openssl

Bulletin d'alerte Debian

DSA-2141-1 openssl -- Défaut de conception dans le protocole de renégociation SSL/TLS non sécurisé

Date du rapport :

6 janvier 2011

Paquets concernés :

openssl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 555829.
Dans le dictionnaire CVE du Mitre : CVE-2009-3555, CVE-2010-4180.

Plus de précisions :

La DSA-2141 est composée de trois parties indépendantes, qui peuvent être consultées sur les archives de la liste de diffusion : DSA 2141-1 (openssl), DSA 2141-2 (nss), DSA 2141-3 (apache2) et DSA 2141-4 (lighttpd). Cette page ne concerne que la première partie, openssl.

• CVE-2009-3555

  Marsh Ray, Steve Dispensa, et Martin Rex ont découvert un défaut dans les protocoles TLS et SSLv3. Si un attaquant peut réaliser une attaque de l'homme du milieu (« man in the middle attack ») au début d'une connexion TLS, il peut injecter du contenu arbitraire au début de la session de l'utilisateur. Cette mise à jour ajoute la prise en charge rétroportée de la nouvelle extension de renégociation RFC5746 qui corrige le problème.

  Si openssl est utilisé dans une application de serveur, il n'acceptera plus par défaut la renégociation de clients qui ne gèrent pas l'extension de renégociation sécurisée RFC5746. Une annonce séparée ajoutera la prise en charge de la RFC5746 pour nss, la bibliothèque de sécurité utilisée par le navigateur iceweasel. Pour apache2, il y aura une mise à jour permettant la réactivation de la renégociation non sécurisée.

  Cette version d'openssl n'est pas compatible avec les plus anciennes versions de tor. Vous devez utiliser au moins la version 0.2.1.26-1~lenny+1 de tor, qui a été intégrée à la mise à jour mineure 5.0.7 de Debian stable.

  Nous ne sommes actuellement pas au courant d'autres logiciels avec des problèmes de compatibilité comparables.

• CVE-2010-4180

  De plus, cette mise à jour corrige un défaut qui permettait à un client de contourner les restrictions configurées sur le serveur pour l'ensemble de chiffrement utilisé.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.9.8g-15+lenny11.

Pour la distribution unstable (Sid) et la distribution testing (Squeeze), ce problème a été corrigé dans la version 0.9.8o-4.

Nous vous recommandons de mettre à jour votre paquet openssl.

De plus amples renseignements à propos des annonces de sécurité Debian, la méthode pour appliquer ces mises à jour sur votre système et les questions récurrentes peuvent être consultés en : https://www.debian.org/security/