S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 15 mai 2008
No CERTA-2008-AVI-239-001

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Vulnérabilité dans la version OpenSSL de Debian

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-239

Gestion du document


Tableau 1: Gestion du document
Référence CERTA-2008-AVI-239-001
Titre Vulnérabilité dans la version OpenSSL de Debian
Date de la première version 13 mai 2008
Date de la dernière version 15 mai 2008
Source(s) Bulletin de sécurité DSA-1571 du 13 mai 2008
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

2 Systèmes affectés

La version présente dans l'ancienne version stable de Debian : sarge n'est pas vulnérable.

3 Résumé

Une vulnérabilité dans la version de OpenSSL propre aux distributions Debian, Ubuntu ou à leurs dérivés permet à un utilisateur distant de contourner la politique de sécurité ou de porter atteinte à la confidentialité du système vulnérable.

4 Description

Une vulnérabilité est présente dans la version spécifique de OpenSSL mise en œuvre dans les distributions GNU/Linux Debian et Ubuntu. Celle-ci est relative à une faiblesse dans le générateur de nombres pseudo-aléatoires. Cette faille permet potentiellement à un utilisateur malintentionné de prédire les clefs engendrées au moyen de OpenSSL.

Remarque : les clefs créées avec la version vulnérable d'OpenSSL sont donc considérées comme non-fiables et doivent être remplacées par de nouvelles après application du correctif.

5 Solution

Se référer au bulletin de sécurité de Debian et Ubuntu pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

Gestion détaillée du document

13 mai 2008
version initiale ;
15 mai 2008
ajout de Ubuntu dans les systèmes vulnérables, ajout de la non-vulnérabilité de la Debian sarge.


CERTA
2010-01-20