Deux vulnérabilités ont été découvertes dans openssl, une implémentation du protocole SSL, qui utilise l'outil de test TLS de Condenomicon. Vous trouverez plus d'informations sur ce bulletin de vulnérabilité de NISCC et ce bulletin d'OpenSSL. Le projet Common Vulnerabilities and Exposures a identifié les vulnérabilités suivantes :
Affectation d'un pointeur nul dans la fonction do_change_cipher_spec(). Un attaquant distant pourrait forger une négociation de connexion contre un serveur utilisant la bibliothèque OpenSSL de manière à provoquer le plantage de OpenSSL. En fonction de l'application, cela pourrait conduire à un déni de service.
Un bogue dans les anciennes versions de OpenSSL 0.9.6 peuvent conduire à une attaque par déni de service (boucle infinie).
Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 0.9.6c-2.woody.6 d'openssl, dans la version version 0.9.4-6.woody.4 d'openssl094 et dans la version 0.9.5a-6.woody.5 d'openssl095.
Pour la distribution instable (Sid), ces problèmes seront bientôt corrigés.
Nous vous recommandons de mettre à jour votre paquet openssl.
Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.