Bulletin d'alerte Debian

DSA-3673-1 openssl -- Mise à jour de sécurité

Date du rapport :

22 septembre 2016

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenSSL :

CVE-2016-2177
Guido Vranken a découvert qu'OpenSSL utilise un pointeur arithmétique non défini. Des informations supplémentaires peuvent être trouvées à l'adresse https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/
CVE-2016-2178
Cesar Pereida, Billy Brumley et Yuval Yarom ont découvert une fuite de temporisation dans le code de DSA.
CVE-2016-2179 / CVE-2016-2181
Quan Luo et l'équipe d'audit OCAP ont découvert des vulnérabilités de déni de service dans DTLS.
CVE-2016-2180 / CVE-2016-2182 / CVE-2016-6303
Shi Lei a découvert une lecture de mémoire hors limites dans TS_OBJ_print_bio() et une écriture hors limites dans BN_bn2dec() et dans MDC2_Update().
CVE-2016-2183
Les suites de chiffrement basées sur DES sont rétrogradées du groupe HIGH au groupe MEDIUM pour atténuer l'attaque SWEET32.
CVE-2016-6302
Shi Lei a découvert que l'utilisation de SHA512 dans les tickets de session TLS est vulnérable à un déni de service.
CVE-2016-6304
Shi Lei a découvert qu'une requête d'état OCSP excessivement grande peut avoir pour conséquence un déni de service par une surconsommation de mémoire.
CVE-2016-6306
Shi Lei a découvert que l'absence de vérification de longueur de message lors de l'analyse de certificats peut éventuellement avoir pour conséquence un déni de service.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.0.1t-1+deb8u4.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets openssl.