Bulletin d'alerte Debian

DSA-2162-1 openssl -- Accès mémoire non valable

Date du rapport :
14 février 2011
Paquets concernés :
openssl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-0014.
Plus de précisions :

Neel Mehta a découvert qu'un message d'initialisation ClientHello pouvait forcer OpenSSL à analyser au-delà de la fin du message. Cela permet à un attaquant de planter une application utilisant OpenSSL en provoquant un accès mémoire non valable. De plus, certaines applications pourraient être vulnérables à la révélation de contenu d'une extension de demande de nom occasionnel OCSP analysée.

Les paquets de l'ancienne distribution stable (Lenny) ne sont pas concernés par ces problèmes.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.9.8o-4squeeze1.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 0.9.8o-5.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.9.8o-5.

Nous vous recommandons de mettre à jour vos paquets openssl.