nous veillons pour votre sécurité depuis 1999

vulnérabilités

L'équipe Vigil@nce veille les vulnérabilités qui affectent votre parc informatique, puis propose les correctifs, une base et les outils pour y remédier.

vulnérabilités récentes

produits suivis

fil RSS

vulnérabilité

alerte de vulnérabilité CVE-2008-0166

Debian : aléas openssl prédictibles

Synthèse de la vulnérabilité

Les clés générées par le paquetage openssl de Debian 4.0 sont prédictibles.
Produits concernés : ProxySG, Debian, StoneGate Firewall, StoneGate IPS.
Gravité : 4/4.
Date création : 13/05/2008.
Références : BID-29179, CERTA-2008-AVI-239, CERTA-2008-AVI-246, CVE-2008-0166, DSA-1571-1, DSA 1576-1, DSA 1576-2, VIGILANCE-VUL-7821, VU#925211.

Description de la vulnérabilité

Le paquetage openssl de Debian est une version modifiée d'OpenSSL.

Cependant, cette modification rend les clés générées prédictibles.

Les clés générées pour les applications suivantes sont potentiellement affectées :
- certificat X.509 (apache, etc.)
- DNSSEC
- OpenVPN
- SSH

Les clés générées pour les applications suivantes ne sont pas affectées :
- GnuPG
- GNUTLS

Un attaquant peut donc prédire les clés générées par le paquetage openssl de Debian, afin par exemple d'usurper l'identité d'un client ou d'un serveur.
Bulletin Vigil@nce complet.... (accès gratuit)

Partagez ce bulletin

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une contre-mesure de vulnérabilité de réseau. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.