1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200603-15 / crypt-cbc |
| Date de Parution | 17 Mars 2006 |
| Impact | Bas |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| dev-perl/crypt-cbc | < 2.17 | >= 2.17 | Toutes |
3. Synopsis
Une faille dans Crypt::CBC peut entraîner un affaiblissement de la sécurité du cryptage.
4. Informations
Crypt::CBC est un module PERL permettant de crypter des données en utilisant un algorithme de type CBC (cipher block chaining).
5. Description
Lincoln Stein a découvert que Crypt::CBC n'initialise pas correctement ses vecteurs de 16 octets lorsqu'il fonctionne en mode Random IV, ce qui entraîne un affaiblissement de la sécurité du cryptage.
6. Impact de la faille
Un attaquant distant peut utiliser cette faiblesse du cryptage pour contourner certaines restrictions de sécurité ou accéder à des données sensibles.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Les utilisateurs de Crypt::CBC doivent mettre à jour ce dernier.
# emerge --sync # emerge --ask --oneshot --verbose ">=dev-perl/crypt-cbc-2.17"
9. Références