Bonjour, Le 12/01/2015 13:36, JP Guillonneau a écrit : > Bonjour, > > > suggestions. > > > Amicalement J'ai tout repris sauf forward secrecy confidentialité persistante cf : http://fr.wikipedia.org/wiki/Confidentialit%C3%A9_persistante Merci d'avance pour une nouvelle relecture. Amicalement jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL, la boîte à outils associée à SSL (Secure Socket Layer). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3569";>CVE-2014-3569</a> <p>Frank Schmirler a signalé que la fonction ssl23_get_client_hello d'OpenSSL ne traite pas correctement les tentatives d'utiliser des protocoles non pris en charge. Quand OpenSSL est compilé avec l'option no-ssl3 et qu'un ClientHello SSL v3 est reçu, la méthode ssl pourrait être positionnée à NULL ce qui ensuite pourrait résulter en un déréférencement de pointeur NULL et un plantage du démon.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3570";>CVE-2014-3570</a> <p>Pieter Wuille de Blockstream a signalé que le carré du bignum (BN_sqr) pouvait produire des résultats incorrects sur certaines plate-formes, ce qui pourrait faciliter la mise en échec des mécanismes de protection cryptographique par des attaquants distants.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3571";>CVE-2014-3571</a> <p>Markus Stenberg de Cisco Systems, Inc. a signalé qu'un message DTLS soigneusement contrefait peut provoquer une erreur de segmentation dans OpenSSL due à un déréférencement de pointeur NULL. Un attaquant distant pourrait utiliser ce défaut pour monter une attaque par déni de service. </p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3572";>CVE-2014-3572</a> <p>Karthikeyan Bhargavan de l'équipe PROSECCO de l'INRIA a signalé qu'un client OpenSSL pourrait accepter une initialisation de connexion utilisant un ensemble de chiffrement ECDH éphémère si le message d'échange de clés est omis. Cela permet à des serveurs SSL distants de conduire des attaques de dégradation de ECDHE à ECDH et déclencher une perte de confidentialité persistante.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8275";>CVE-2014-8275</a> <p>Antti Karjalainen et Tuomo Untinen du projet Codenomicon CROSS et Konrad Kraszewski de Google ont signalé divers problèmes d'empreinte de certificat, permettant à des attaquants distants de mettre en défaut le mécanisme de protection par liste noire de certificats basé sur les empreintes.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0204";>CVE-2015-0204</a> <p>Karthikeyan Bhargavan de l'équipe PROSECCO de l'INRIA a signalé qu'un client OpenSSL acceptera l'utilisation d'une clé RSA éphémère dans un ensemble de chiffrement d'échange, non destiné à lâexport, de clés RSA, violant le standard TLS. Cela permet à des serveurs SSL distants de dégrader la sécurité de la session.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0205";>CVE-2015-0205</a> <p>Karthikeyan Bhargavan de l'équipe PROSECCO de l'INRIA a signalé qu'un serveur OpenSSL acceptera des certificats DH pour l'authentification d'un client sans vérification du certificat du message. Ce défaut permet effectivement l'authentification d'un client sans l'utilisation d'une clé privée grâce à un message de protocole d'initialisation de connexion TLS contrefait vers un serveur qui reconnaît une autorité de certification avec prise en charge de DH.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0206";>CVE-2015-0206</a> <p>Chris Mueller a découvert une fuite de mémoire dans la fonction dtls1_buffer_record. Un attaquant distant pourrait exploiter ce défaut pour monter une attaque par déni de service par une surconsommation de mémoire en envoyant de façon répétée des enregistrements DTLS contrefaits pour l'occasion. </p></li> </ul> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u14.</p> <p>Pour la prochaine distribution stable (Jessie), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.1k-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openssl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dsa-3125.data" # $Id: dsa-3125.wml,v 1.3 2015/01/12 22:43:25 jipege1-guest Exp $
