Bulletin d'alerte Debian

DSA-2475-1 openssl -- Dépassement d'entier par le bas

Date du rapport :
17 mai 2012
Paquets concernés :
openssl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-2333.
Plus de précisions :

OpenSSL ne gérait pas correctement les vecteurs d'initialisation explicites pour les modes de chiffrement CBC, tels qu'utilisés dans TLS 1.1, TLS 1.2, et DTLS. Un calcul incorrect pourrait mener à un dépassement d'entier par le bas et à un accès mémoire incorrect, causant un déni de service (plantage d'application.)

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.9.8o-4squeeze13.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.0.1c-1.

Nous vous recommandons de mettre à jour vos paquets openssl.