Bulletin d'alerte Debian

DSA-1195-1 openssl096 -- Déni de service (multiple)

Date du rapport :
10 octobre 2006
Paquets concernés :
openssl096
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2006-2940, CVE-2006-3738, CVE-2006-4343.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le paquet du logiciel de chiffrement OpenSSL, cela peut permettre à un attaquant de lancer une attaque par déni de service en épuisant les ressources du système ou en plantant des processus sur l'ordinateur de la victime.

  • CVE-2006-3738

    Tavis Ormandy et Will Drewry de l'équipe de sécurité de Google ont découvert un dépassement de mémoire tampon dans la fonction utilitaire SSL_get_shared_ciphers utilisée par certaines applications comme exim et mysql. Un attaquant peut envoyer une liste de chiffres qui peuvent saturer une mémoire tampon.

  • CVE-2006-4343

    Tavis Ormandy et Will Drewry de l'équipe de sécurité de Google ont découvert un possible déni de service dans le code du client sslv2. Lorsque une application cliente utilise OpenSSL pour réaliser une connexion SSLv2 vers un serveur malveillant, ce serveur peut causer le plantage du client.

  • CVE-2006-2940

    Dr S N Henson de l'équipe principale OpenSSL et l'Open Network Security ont récemment développé un ensemble de tests ASN1 pour NISCC (www.niscc.gov.uk). Lorsqu'ils ont été lancés sur OpenSSL un déni de service a été découvert.

    Certains types de clefs publiques peuvent utiliser des quantités disproportionnées de temps pour être traités. Cela peut être utilisé par un attaquant lors d'une attaque par déni de service.

Pour la distribution stable (Sarge), ces problèmes ont été corrigés dans la version 0.9.6m-1sarge4.

Ce paquet n'existe que pour des raisons de compatibilité avec des logiciels plus anciens et n'est pas présent dans les distributions instable et de test de Debian.

Nous vous recommandons de mettre à jour votre paquet openssl096. Veuillez noter que les services liés aux bibliothèques partagées openssl devront être redémarrés. Ces services comprennent par exemple la plupart des agents de transport de courriels, les serveurs SSH et les serveurs web.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m-1sarge4.diff.gz
http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m.orig.tar.gz
http://security.debian.org/pool/updates/main/o/openssl096/openssl096_0.9.6m-1sarge4.dsc
Alpha:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_m68k.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/o/openssl096/libssl0.9.6_0.9.6m-1sarge4_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.