Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2475-1 openssl

Bulletin d'alerte Debian

DSA-2475-1 openssl -- Dépassement d'entier par le bas

Date du rapport :

17 mai 2012

Paquets concernés :

openssl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-2333.

Plus de précisions :

OpenSSL ne gérait pas correctement les vecteurs d'initialisation explicites pour les modes de chiffrement CBC, tels qu'utilisés dans TLS 1.1, TLS 1.2, et DTLS. Un calcul incorrect pourrait mener à un dépassement d'entier par le bas et à un accès mémoire incorrect, causant un déni de service (plantage d'application.)

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.9.8o-4squeeze13.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.0.1c-1.

Nous vous recommandons de mettre à jour vos paquets openssl.