Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2299-1 ca-certificates

Bulletin d'alerte Debian

DSA-2299-1 ca-certificates -- Autorité de certification compromise

Date du rapport :

31 août 2011

Paquets concernés :

ca-certificates

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 639744.

Plus de précisions :

Un certificat SSL non autorisé a été découvert dans la nature, émis par l'autorité de certification DigiNotar, obtenu à l'aide d'une faille de sécurité au sein de la société en question. Debian, comme d'autres distributeurs de logiciels, a par précaution décidé de désactiver par défaut le certificat racine de DigiNotar dans ses paquets ca-certificates.

Concernant les autres programmes de Debian embarquant des paquets de certificats racine, comme la suite Mozilla, les mises à jours sont à paraître.

Pour la distribution oldstable (Lenny), le paquet ca-certificates ne contient pas ce certificat racine.

Pour la distribution stable (Squeeze), le certificat racine a été désactivé à partir de la version 20090814+nmu3 de ca-certificates.

Pour la distribution testing (Wheezy) et unstable (Sid), le certificat racine a été désactivé à partir de la version 20110502+nmu1 de ca-certificates.

Nous vous recommandons de mettre à jour vos paquets ca-certificates.