Bulletin d'alerte Debian

DSA-3413-1 openssl -- Mise à jour de sécurité

Date du rapport :
4 décembre 2015
Paquets concernés :
openssl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-3194, CVE-2015-3195, CVE-2015-3196.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une boîte à outils associée à SSL (Secure Socket Layer). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

  • CVE-2015-3194

    Loic Jonas Etienne de Qnective AG a découvert que les routines de vérification de signature plantaient avec un déréférencement de pointeur NULL lors de la réception d'une signature ASN.1 utilisant l'algorithme RSA PSS et en l'absence de paramètre de fonction de génération de masque. Un attaquant distant peut exploiter ce défaut pour planter toute opération de vérification de certificat et monter une attaque par déni de service.

  • CVE-2015-3195

    Adam Langley de Google/BoringSSL a découvert que OpenSSL provoque une fuite de mémoire lors de la réception d'une structure X509_ATTRIBUTE malformée.

  • CVE-2015-3196

    Un défaut de situation de compétition dans le traitement des indices d'identité PSK a été découvert, menant éventuellement à une double libération de zone de mémoire des données d'indice d'identité.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u18.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.0.1k-3+deb8u2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.2e-1 ou earlier.

Nous vous recommandons de mettre à jour vos paquets openssl.