Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2541-1 beaker

Bulletin d'alerte Debian

DSA-2541-1 beaker -- Divulgation d'informations

Date du rapport :

7 septembre 2012

Paquets concernés :

beaker

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 684890.
Dans le dictionnaire CVE du Mitre : CVE-2012-3458.

Plus de précisions :

Beaker, une bibliothèque de cache et sessions pour Python, lors de l'utilisation du moteur python-crypto, est vulnérable à une divulgation d'informations à cause d'une faiblesse cryptographique relative à l'utilisation du chiffrement AES en mode ECB.

Les systèmes avec le paquet python-pycryptopp ne devraient pas être vulnérables, car ce moteur est préféré à python-crypto.

Après l'application de cette mise à jour, les sessions existantes ne seront plus valables.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.5.4-4+squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.6.3-1.1.

Nous vous recommandons de mettre à jour vos paquets beaker.