Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3436-1 openssl

Bulletin d'alerte Debian

DSA-3436-1 openssl -- Mise à jour de sécurité

Date du rapport :

8 janvier 2016

Paquets concernés :

openssl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-7575.

Plus de précisions :

Karthikeyan Bhargavan et Gaetan Leurent de l'INRIA ont découvert un défaut dans le protocole TLS 1.2 qui pourrait permettre l'utilisation de la fonction de hachage MD5 pour signer les paquets ServerKeyExchange et Client Authentication lors d'une initialisation de connexion TLS. Un attaquant de type « homme du milieu » pourrait exploiter ce défaut pour conduire des attaques par collision afin d'usurper l'identité d'un serveur TLS ou d'un client authentifié.

Plus d'informations sont disponibles à l'adresse https://www.mitls.org/pages/attaques/SLOTH

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1.0.1e-2+deb7u19.

Pour la distribution stable (Jessie), la distribution testing (Stretch) et la distribution unstable (Sid), ce problème a déjà été réglé dans la version 1.0.1f-1.

Nous vous recommandons de mettre à jour vos paquets openssl.