Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3202-1 mono

Bulletin d'alerte Debian

DSA-3202-1 mono -- Mise à jour de sécurité

Date du rapport :

22 mars 2015

Paquets concernés :

mono

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 780751.
Dans le dictionnaire CVE du Mitre : CVE-2015-2318, CVE-2015-2319, CVE-2015-2320.

Plus de précisions :

Des chercheurs de l'INRIA et de Xamarin ont découvert plusieurs vulnérabilités dans mono, une plate-forme d'exécution et de développement d'applications basées sur les standards ECMA/ISO. La pile TLS de Mono contenait plusieurs problèmes qui limitaient ses capacités : ces problèmes pourraient conduire à l'usurpation d'identité du client (avec SKIP-TLS), au repli sur SSLv2 et à l'affaiblissement du chiffrement (avec FREAK).

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.10.8.1-8+deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.2.8+dfsg-10.

Nous vous recommandons de mettre à jour vos paquets mono.