Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3287-1 openssl

Bulletin d'alerte Debian

DSA-3287-1 openssl -- Mise à jour de sécurité

Date du rapport :

13 juin 2015

Paquets concernés :

openssl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-8176, CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792, CVE-2015-4000.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une boîte à outils SSL (Secure Sockets Layer).

• CVE-2014-8176

  Praveen Kariyanahalli, Ivan Fratric et Felix Groebert ont découvert qu'une libération de mémoire invalide pourrait être déclenchée lors de la mise en tampon de données DTLS. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) ou éventuellement d'exécuter du code arbitraire. Ce problème n'affectait que la distribution oldstable (Wheezy).

• CVE-2015-1788

  Joseph Barr-Pixton a découvert qu'une boucle infinie pourrait être déclenchée à cause du traitement incorrect de structures ECParameters malformées. Cela pourrait permettre à des attaquants distants de provoquer un déni de service.

• CVE-2015-1789

  Robert Swiecki et Hanno Böck ont découvert que la fonction X509_cmp_time pourrait lire quelques octets hors limites. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) grâce à des certificats et des listes de révocation de certificats (CRL) contrefaits.

• CVE-2015-1790

  Michal Zalewski a découvert que le code de traitement PKCS#7 ne gérait pas correctement le contenu manquant, ce qui pourrait conduire à un déréférencement de pointeur NULL. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) grâce à des blobs PKCS#7 encodés en ASN.1 contrefaits.

• CVE-2015-1791

  Emilia Käsper a découvert qu'une situation de compétition pourrait se produire à cause du traitement incorrect NewSessionTicket dans un client multifil, menant à une double libération de zone de mémoire. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage).

• CVE-2015-1792

  Johannes Bauer a découvert que le code CMS pourrait entrer dans une boucle infinie lors de la vérification d'un message signedData présenté avec un OID de fonction de hachage inconnu. Cela pourrait permettre à des attaquants distants de provoquer un déni de service.

De plus, OpenSSL rejettera désormais les initiations de connexion (handshakes) utilisant des paramètres DH de taille inférieure à 768 bits en tant que contremesure à l'attaque Logjam (CVE-2015-4000).

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u17.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.0.1k-3+deb8u1.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1.0.2b-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.2b-1.

Nous vous recommandons de mettre à jour vos paquets openssl.