L'équipe de développement d'OpenSSL a annoncé qu'un audit de sécurité mené par A.L. Digital Ltd et The Bunker, à l'aide du programme DARPA CHATS, avait révélé la possibilité d'un débordement de tampon exploitable à distance dans le code d'OpenSSL. De plus, l'analyseur ASN1 d'OpenSSL pourrait être la cible d'un attaque de type déni de service ; faille qui a été découverte par Adi Stav et James Yonan.
D'après le CAN-2002-0655, les débordement de tampon serait dû au traitement des représentations d'entiers ASCII sur les plates-formes 64 bits. Le CAN-2002-0656, indique que le débordement de tampon se situe dans l'implémentation du serveur SSL2 (en envoyant une clé invalide au serveur) et dans l'implémentation du client SSL3 (en envoyant un identifiant trop large au client). L'histoire du SSL2 a aussi été rapportée par Neohapsis, qui avait, en privé, montré le code pour exploiter cette faille. Le CAN-2002-0659 référence le problème de l'analyseur ASN1.
Ces failles de sécurité ont été adressées pour Debian 3.0 (Woody) pour openssl094_0.9.4-6.woody.2, openssl095_0.9.5a-6.woody.1 et openssl_0.9.6c-2.woody.1.
Ces failles sont également présentes dans Debian 2.2 (Potato), des paquets corrigés sont disponibles dans openssl094_0.9.4-6.potato.2 et openssl_0.9.6c-0.potato.4.
Un ver exploite frénétiquement cette faille sur les hôtes qui sont connectés à l'Internet, nous vous recommandons de mettre à jour votre OpenSSL dès que possible. Notez que vous devrez relancer tous les démons qui utilisent SSL. (Par exemple, ssh ou un apache sur lequel ssh est activé.) Si vous n'êtes pas certains de connaître les programmes qui utilisent SSL vous devriez relancer votre machine pour que tous les démons utilisent bien les nouvelles bibliothèques.
Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
Les hachés MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.
Les hachés MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.