Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2998-1 openssl

Bulletin d'alerte Debian

DSA-2998-1 openssl -- Mise à jour de sécurité

Date du rapport :

7 août 2014

Paquets concernés :

openssl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-3505, CVE-2014-3506, CVE-2014-3507, CVE-2014-3508, CVE-2014-3509, CVE-2014-3510, CVE-2014-3511, CVE-2014-3512, CVE-2014-5139.

Plus de précisions :

Plusieurs vulnérabilités ont été identifiées dans OpenSSL, une boîte à outils associée à SSL (Secure Socket Layer), qui peuvent résulter dans un déni de service (plantage d'application, importante consommation de mémoire),une fuite d'informations et une dégradation du protocole. En complément, un dépassement de tampon affectant seulement les applications configurées explicitement pour le protocole SRP a été corrigé (CVE-2014-3512).

Une description détaillée des vulnérabilités peut être consultée à la page : www.openssl.org/news/secadv_20140806.txt

Il est important que vous mettiez à jour le paquet libssl1.0.0 et pas seulement le paquet openssl.

Toutes les applications liées à openssl doivent être redémarrées. Vous pouvez utiliser l'outil checkrestart qui se trouve dans le paquet debian-goodies pour détecter les programmes affectés. Autrement, vous pouvez redémarrer le système.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u12.

Pour la distribution testing (Jessie), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.1i-1.

Nous vous recommandons de mettre à jour vos paquets openssl.