[RFR3] wml://security/2014/dsa-3125.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Le 12/01/2015 13:36, JP Guillonneau a écrit :
> Bonjour,
> 
> 
> suggestions.
> 
> 
> Amicalement
J'ai tout repris sauf forward secrecy confidentialité persistante cf :
http://fr.wikipedia.org/wiki/Confidentialit%C3%A9_persistante
Merci d'avance pour une nouvelle relecture.
Amicalement
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL, la boîte à 
outils associée à SSL (Secure Socket Layer).

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3569";>CVE-2014-3569</a>

<p>Frank Schmirler a signalé que la fonction ssl23_get_client_hello d'OpenSSL
ne traite pas correctement les tentatives d'utiliser des protocoles non pris
en charge. Quand OpenSSL est compilé avec l'option no-ssl3 et qu'un
ClientHello SSL v3 est reçu, la méthode ssl pourrait être positionnée à NULL
ce qui ensuite pourrait résulter en un déréférencement de pointeur NULL et un
plantage du démon.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3570";>CVE-2014-3570</a>

<p>Pieter Wuille de Blockstream a signalé que le carré du bignum (BN_sqr)
pouvait produire des résultats incorrects sur certaines plate-formes, ce qui
pourrait faciliter la mise en échec des mécanismes de protection
cryptographique par des attaquants distants.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3571";>CVE-2014-3571</a>

<p>Markus Stenberg de Cisco Systems, Inc. a signalé qu'un message DTLS
soigneusement contrefait peut provoquer une erreur de segmentation dans
OpenSSL due à un déréférencement de pointeur NULL. Un attaquant distant
pourrait utiliser ce défaut pour monter une attaque par déni de service.
</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3572";>CVE-2014-3572</a>

<p>Karthikeyan Bhargavan de l'équipe PROSECCO de l'INRIA a signalé qu'un
client OpenSSL pourrait accepter une initialisation de connexion utilisant un
ensemble de chiffrement ECDH éphémère si le message d'échange de clés est omis.
Cela permet à des serveurs SSL distants de conduire des attaques de dégradation
de ECDHE à ECDH et déclencher une perte de confidentialité persistante.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8275";>CVE-2014-8275</a>

<p>Antti Karjalainen et Tuomo Untinen du projet Codenomicon CROSS et Konrad
Kraszewski de Google ont signalé divers problèmes d'empreinte de certificat,
permettant à des attaquants distants de mettre en défaut le mécanisme de
protection par liste noire de certificats basé sur les empreintes.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0204";>CVE-2015-0204</a>

<p>Karthikeyan Bhargavan de l'équipe PROSECCO de l'INRIA a signalé qu'un
client OpenSSL acceptera l'utilisation d'une clé RSA éphémère dans un ensemble
de chiffrement d'échange, non destiné à  lâ??export, de clés RSA, violant le
standard TLS. Cela permet à des serveurs SSL distants de dégrader la sécurité
de la session.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0205";>CVE-2015-0205</a>

<p>Karthikeyan Bhargavan de l'équipe PROSECCO de l'INRIA a signalé qu'un
serveur OpenSSL acceptera des certificats DH pour l'authentification d'un
client sans vérification du certificat du message. Ce défaut permet
effectivement l'authentification d'un client sans l'utilisation d'une clé
privée grâce à un message de protocole d'initialisation de connexion TLS
contrefait vers un serveur qui reconnaît une autorité de certification avec
prise en charge de DH.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0206";>CVE-2015-0206</a>

<p>Chris Mueller a découvert une fuite de mémoire dans la fonction
dtls1_buffer_record. Un attaquant distant pourrait exploiter ce défaut pour
monter une attaque par déni de service par une surconsommation de mémoire en
envoyant de façon répétée des enregistrements DTLS contrefaits pour l'occasion.
</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u14.</p>

<p>Pour la prochaine distribution stable (Jessie), ces problèmes seront corrigés prochainement.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.1k-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3125.data"
# $Id: dsa-3125.wml,v 1.3 2015/01/12 22:43:25 jipege1-guest Exp $