Bulletin d'alerte Debian
DSA-3197-1 openssl -- Mise à jour de sécurité
- Date du rapport :
- 19 mars 2015
- Paquets concernés :
- openssl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2015-0209, CVE-2015-0286, CVE-2015-0287, CVE-2015-0288, CVE-2015-0289, CVE-2015-0292.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans OpenSSL, la boîte à outils associée à SSL (« Secure Sockets Layer »). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2015-0286
Stephen Henson a découvert que la fonction ASN1_TYPE_cmp() peut être plantée, résultant en un déni de service.
- CVE-2015-0287
Emilia Kaesper a découvert une corruption de la mémoire dans le traitement ASN.1.
- CVE-2015-0289
Michal Zalewski a découvert un déréférencement de pointeur NULL dans le code de traitement PKCS#7, résultant en un déni de service.
- CVE-2015-0292
Une absence de vérification des entrées dans le décodage base64 pourrait résulter en une corruption de la mémoire.
- CVE-2015-0209
Une clé privée EC malformée pourrait résulter en une corruption de la mémoire.
- CVE-2015-0288
Une absence de vérification des entrées dans la fonction X509_to_X509_REQ() pourrait résulter en un déni de service.
Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u15. Dans cette mise à jour, les chiffrements d'export sont supprimés de la liste des chiffrements par défaut.
Nous vous recommandons de mettre à jour vos paquets openssl.
- CVE-2015-0286