Bulletin d'alerte Debian

DSA-394-1 openssl095 -- Faille de sécurité dans l'analyseur ASN.1

Date du rapport :

11 octobre 2003

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 8732.
Dans le dictionnaire CVE du Mitre : CVE-2003-0543, CVE-2003-0544, CVE-2003-0545.

Plus de précisions :

Steve Henson de l'équipe principale d'OpenSSL a identifié et corrigé de nombreuses failles de sécurité dans le code ASN1 d'OpenSSL qui ont été découvertes après l'utilisation d'une suite de tests du British National Infrastructure Security Coordination Centre (NISCC).

Un bogue dans le protocole SSL/TLS d'OpenSSL a été aussi identifié forçant OpenSSL à analyser le certificat du client depuis une connexion SSL/TLS alors qu'il devrait la rejeter comme une erreur du protocole.

Le projet Common Vulnerabilities and Exposures identifie les problèmes suivants :

CAN-2003-0543 :
Un dépassement d'entier dans OpenSSL permet à des attaquants distants de causer un déni de service (crash) via un certificat client SSL avec certaines valeurs de balises ASN.1 ;
CAN-2003-0544 :
OpenSSL ne compte pas proprement le nombre de caractères dans certaines entrées ASN.1, ce qui permet à des attaquants distants de causer un déni de service (crash) via un certificat client SSL qui force OpenSSL à lire au delà de la fin du tampon quand le format choisi est le long ;
CAN-2003-0545 :
Une faille de sécurité de double désallocation permet à des attaquants distants de causer un déni de service (crash) et probablement d'exécuter n'importe quel code via un certificat client SSL avec un certain encodage ASN.1. Ce bogue était présent seulement dans OpenSSL 0.9.7 et il est listé ici pour référence seulement.

Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 0.9.5a-6.woody.3 de openssl095.

Ce paquet n'est pas présent dans les distributions instable (Sid) ou de test (Sarge).

Nous vous recommandons de mettre à jour vos paquets libssl095a et de redémarrer les services utilisant cette bibliothèque. Debian ne fournit aucun paquet qui utilise cette bibliothèque.

La ligne de commande suivante (courtoisie de Ray Dassen) produit la liste de noms des processus que ont la libssl095 de copiée dans leur espace mémoire :

    find /proc -name maps -exec egrep -l 'libssl095' {} /dev/null \; | sed -e 's/[^0-9]//g' | xargs --no-run-if-empty ps --no-headers -p | sed -e 's/^\+//' -e 's/ \+/ /g' | cut -d ' ' -f 5 | sort | uniq

Vous devrez redémarrer les services associés à ces processus.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.3.dsc; http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.3.diff.gz; http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.