Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3253-1 pound

Bulletin d'alerte Debian

DSA-3253-1 pound -- Mise à jour de sécurité

Date du rapport :

7 mai 2015

Paquets concernés :

pound

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 723731, Bogue 727197, Bogue 765539, Bogue 765649.
Dans le dictionnaire CVE du Mitre : CVE-2009-3555, CVE-2012-4929, CVE-2014-3566.

Plus de précisions :

Pound, un mandataire inverse HTTP et répartiteur de charge, avait plusieurs problèmes relatifs à des vulnérabilités dans le protocole Secure Sockets Layer (SSL).

Pour Debian 7 (Wheezy,) cette mise à jour ajoute une partie qui manque pour rendre réellement possible la désactivation de la renégociation initiée par le client et la désactive par défaut (CVE-2009-3555). La compression TLS est désactivée (CVE-2012-4929), bien qu'elle soit normalement déjà désactivée par la bibliothèque système d'OpenSSL. Elle ajoute enfin la possibilité de désactiver le protocole SSLv3 (CVE-2014-3566) entièrement grâce à la nouvelle directive de configuration DisableSSLv3, bien qu'il ne soit pas désactivé par défaut dans cette mise à jour. De plus, un problème non lié à la sécurité dans l'encodage de la redirection est traité.

Pour Debian 8 (Jessie), ces problèmes ont été corrigés avant la publication, à l'exception de la renégociation initiée parle client (CVE-2009-3555). Cette mise à jour corrige ce problème pour Jessie.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 2.6-2+deb7u1.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.6-6+deb8u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.6-6.1.

Nous vous recommandons de mettre à jour vos paquets pound.