|
|
SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection
Debian OpenSSL Générateur de Nombre Aléatoire Prévisible et Update
13/05/2008 20H21
Référence Secunia : SA30220
Date de publication : 2008-05-13
Risque : Elevé. Niveau 4 sur 5. 
Impact : Contournement de la Sécurité, DoS, Accès au système
Lieu : A distance
Solutions :
Correctif de l'éditeur
OS :
Debian GNU/Linux 4.0
Debian GNU/Linux instable alias sid
Référence CVE :
CVE-2008-0166
Description :
Debian a réalisé une mise à jour pour OpenSSL. Cela corrige quelques vulnérabilités, qui pourraient être exploitées par des personnes malintentionnées pour causer un Déni de Service (DoS) et potentiellement compromettre un système vulnérable, et un problème de sécurité, qui peuvent déboucher sur une clé cryptographique faible.
1) Le problème de sécurité est causé du fait que le générateur de nombre aléatoire dans le paquetage openssl de Debian est prévisible. Cela pourrait entrainer qu'une clé cryptographique faible soit générée par ex. pour des clés SSH, des clés OpenVPN, des clés DNSSEC, et matériel de clé pour utilisation dans des certificats X.509 et des clés de session utilisées dans des connexions SSL/TLS.
Le problème de sécurité est rapporté dans les paquetages OpenSSL de Debian commençant avec 0.9.8c-1 (téléversé à la distribution instable le 2006-09-17) et affecte toutes les clés générées avec un paquetage affecté.
2) Une erreur non spécifiée dans l'implémentation DTLS pourrait être exploitée par des personnes malintentionnées pour causer un Déni de Service (DoS) et potentiellement compromettre un système vulnérable.
Solutions :
Appliquez les paquetages mis à jour et recréer toutes les clés cryptographiques (voir le bulletin de l'éditeur pour plus d'informations).
-- Debian GNU/Linux 4.0 alias etch --
Archives sources :
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c-4etch3.dsc
Taille/checksum MD5: 1099 5e60a893c9c3258669845b0a56d9d9d6
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c.orig.tar.gz
Taille/checksum MD5: 3313857 78454bec556bcb4c45129428a766c886
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c-4etch3.diff.gz
Taille/checksum MD5: 55320 f0e457d6459255da86f388dcf695ee20
Architecture Alpha (DEC Alpha) :
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c-4etch3_alpha.deb
Taille/checksum MD5: 1025954 d82f535b49f8c56aa2135f2fa52e7059
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8-dbg_0.9.8c-4etch3_alpha.deb
Taille/checksum MD5: 4558230 399adb0f2c7faa51065d4977a7f3b3c4
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8_0.9.8c-4etch3_alpha.deb
Taille/checksum MD5: 2620892 0e5efdec0a912c5ae56bb7c5d5d896c6
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.8c-4etch3_alpha.deb
Taille/checksum MD5: 2561650 affe364ebcabc2aa33ae8b8c3f797b5e
http://security.debian.org/pool/updates/main/o/openssl/libcrypto0.9.8-udeb_0.9.8c-4etch3_alpha.udeb
Taille/checksum MD5: 677172 5228d266c1fc742181239019dbad4c42
amd64 architecture (AMD x86_64 (AMD64))
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8-dbg_0.9.8c-4etch3_amd64.deb
Taille/checksum MD5: 1654902 d8ad8dc51449cf6db938d2675789ab25
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8_0.9.8c-4etch3_amd64.deb
Taille/checksum MD5: 891102 2e97e35c44308a59857d2e640ddf141a
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c-4etch3_amd64.deb
Taille/checksum MD5: 992248 82193ea11b0bc08c74a775039b855a05
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.8c-4etch3_amd64.deb
Taille/checksum MD5: 2178610 fb7c53e5f157c43753db31885ff68420
http://security.debian.org/pool/updates/main/o/openssl/libcrypto0.9.8-udeb_0.9.8c-4etch3_amd64.udeb
Taille/checksum MD5: 580250 7fb3d7fee129cc9a4fb21f5c471dfbab
arm architecture (ARM)
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8-dbg_0.9.8c-4etch3_arm.deb
Taille/checksum MD5: 1537440 c5ab48e9bde49ba32648fb581b90ba18
http://security.debian.org/pool/updates/main/o/openssl/libcrypto0.9.8-udeb_0.9.8c-4etch3_arm.udeb
Taille/checksum MD5: 516576 84385b137c731de3b86824c17affa9f3
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.8c-4etch3_arm.deb
Taille/checksum MD5: 2049882 7ed60840eb3e6b26c6856dcaf5776b0c
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c-4etch3_arm.deb
Taille/checksum MD5: 1011698 abfa887593089ac0f1cd4e31154897ee
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8_0.9.8c-4etch3_arm.deb
Taille/checksum MD5: 805912 a605625ea107252e9aebbc77902a63ed
hppa architecture (HP PA RISC)
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8-dbg_0.9.8c-4etch3_hppa.deb
Taille/checksum MD5: 1585900 2cbe55764db351dc6c3c2d622aa90caf
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.8c-4etch3_hppa.deb
Taille/checksum MD5: 2248328 664fb0992b786ce067a7d878056fc191
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c-4etch3_hppa.deb
Taille/checksum MD5: 1030782 21f445c541d5e5b7c16de1db9ee9d681
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8_0.9.8c-4etch3_hppa.deb
Taille/checksum MD5: 945144 c1092f3bb94d920d0beaa372c9cab04e
http://security.debian.org/pool/updates/main/o/openssl/libcrypto0.9.8-udeb_0.9.8c-4etch3_hppa.udeb
Taille/checksum MD5: 631132 76339119275786b5e80a7a1b4cd26b71
Architecture i386 (Intel ia32) :
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.8c-4etch3_i386.deb
Taille/checksum MD5: 2086512 eeef437fb87ad6687cd953d5951aa472
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8-dbg_0.9.8c-4etch3_i386.deb
Taille/checksum MD5: 5584696 6d364557c9d392bb90706e049860be66
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c-4etch3_i386.deb
Taille/checksum MD5: 1000832 ed5668305f1e4b4e4a22fbd24514c758
http://security.debian.org/pool/updates/main/o/openssl/libcrypto0.9.8-udeb_0.9.8c-4etch3_i386.udeb
Taille/checksum MD5: 554676 dbad0172c990359282884bac1d141034
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8_0.9.8c-4etch3_i386.deb
Taille/checksum MD5: 2717086 361fde071d18ccf93338134357ab1a61
ia64 architecture (Intel ia64)
http://security.debian.org/pool/updates/main/o/openssl/libcrypto0.9.8-udeb_0.9.8c-4etch3_ia64.udeb
Taille/checksum MD5: 801748 05b29fc674311bd31fe945036a08abd5
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8_0.9.8c-4etch3_ia64.deb
Taille/checksum MD5: 1192192 56be85aceb4e79e45f39c4546bfecf4f
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.8c-4etch3_ia64.deb
Taille/checksum MD5: 2593418 f9edaea0a86c1a1cea391f890d7ee70f
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8-dbg_0.9.8c-4etch3_ia64.deb
Taille/checksum MD5: 1569418 4b2cb04d13efabdddddbd0f6d3cefd9b
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c-4etch3_ia64.deb
Taille/checksum MD5: 1071156 e1f487c4310ad526c071f7483de4cd1a
Architecture mips (MIPS (Big Endian)) :
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c-4etch3_mips.deb
Taille/checksum MD5: 1003816 f895a8bc714e9c373ee80f736b5af00b
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.8c-4etch3_mips.deb
Taille/checksum MD5: 2262266 004484e816d4fe5ff03fe6d7df38d7b7
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8-dbg_0.9.8c-4etch3_mips.deb
Taille/checksum MD5: 1692606 e8273f5d123f892a81a155f14ba19b50
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8_0.9.8c-4etch3_mips.deb
Taille/checksum MD5: 875558 44074bce1cde4281c5abcf45817f429d
http://security.debian.org/pool/updates/main/o/openssl/libcrypto0.9.8-udeb_0.9.8c-4etch3_mips.udeb
Taille/checksum MD5: 580130 b6b810d1c39164747e3ebc9df4903974
Architecture mipsel (MIPS (Little Endian)) :
http://security.debian.org/pool/updates/main/o/openssl/libcrypto0.9.8-udeb_0.9.8c-4etch3_mipsel.udeb
Taille/checksum MD5: 566168 97963ca9b6ada94445fb25b3126655e9
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c-4etch3_mipsel.deb
Taille/checksum MD5: 992712 41c2bbe984553d693f21c3ec349ea465
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.8c-4etch3_mipsel.deb
Taille/checksum MD5: 2255558 3c63936cd511975291b4230bef1a2e3b
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8_0.9.8c-4etch3_mipsel.deb
Taille/checksum MD5: 860506 d580fbeed6efd734245ea7a7bed225bb
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8-dbg_0.9.8c-4etch3_mipsel.deb
Taille/checksum MD5: 1649300 3315d1406f995f5b6d2a4f958976a794
Architecture powerpc (PowerPC) :
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c-4etch3_powerpc.deb
Taille/checksum MD5: 1002022 b2749639425c3a8ac493e072cfffb358
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8_0.9.8c-4etch3_powerpc.deb
Taille/checksum MD5: 895460 e15fbbbbcfe17e82bacc07f6febd9707
http://security.debian.org/pool/updates/main/o/openssl/libcrypto0.9.8-udeb_0.9.8c-4etch3_powerpc.udeb
Taille/checksum MD5: 585320 61488ea7f54b55a21f7147fe5bc3b0f0
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8-dbg_0.9.8c-4etch3_powerpc.deb
Taille/checksum MD5: 1728384 539ee1a3fe7d9b89034ebfe3c1091b6f
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.8c-4etch3_powerpc.deb
Taille/checksum MD5: 2210792 82e9e27c6083a95c76c5817f9604178f
Architecture s390 (IBM S/390) :
http://security.debian.org/pool/updates/main/o/openssl/libcrypto0.9.8-udeb_0.9.8c-4etch3_s390.udeb
Taille/checksum MD5: 643008 4861c78ea63b6c3c08c22a0c5326d981
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8-dbg_0.9.8c-4etch3_s390.deb
Taille/checksum MD5: 1632976 01d289d460622382b59d07950305764f
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8_0.9.8c-4etch3_s390.deb
Taille/checksum MD5: 951404 d92bb390489bed0abff58f7a1ceade6b
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c-4etch3_s390.deb
Taille/checksum MD5: 1014308 487c24f2af25797a857814af7c9c0d0b
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.8c-4etch3_s390.deb
Taille/checksum MD5: 2193782 f1fe472c802e929a57bd8c8560bd3009
Architecture sparc (Sun SPARC/UltraSPARC) :
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8-dbg_0.9.8c-4etch3_sparc.deb
Taille/checksum MD5: 4091340 970453ebfab8152c9c44ae210fbaa2a4
http://security.debian.org/pool/updates/main/o/openssl/libcrypto0.9.8-udeb_0.9.8c-4etch3_sparc.udeb
Taille/checksum MD5: 539054 7be1258f74165c4b037e202d2048f8ce
http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c-4etch3_sparc.deb
Taille/checksum MD5: 1010536 6444d6cc6fd838c82716462aacd1cf84
http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.8c-4etch3_sparc.deb
Taille/checksum MD5: 2108000 ab0d0ccc72764a26b7767cace520b269
http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.8_0.9.8c-4etch3_sparc.deb
Taille/checksum MD5: 2126386 61ddc204ee650cdd0f2b56e358134e2b
-- Debian GNU/Linux instable alias sid --
Corrigé en version 0.9.8g-9.
Vulnérabilité découverte par :
1) L'éditeur crédite Luciano Bello.
Référence :
http://lists.debian.org/debian-security-announce/2008/msg00152.html
Autres références :
SA25878:
http://secunia.com/advisories/25878/
Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
Derniers bulletins de sécurité informatique
Bulletins de sécurité informatiques relatifs
| |
SECURINFOS