Bulletin d'alerte Debian

DLA-0003-1 openssl -- Mise à jour de sécurité pour LTS

Date du rapport :
5 juin 2014
Paquets concernés :
openssl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-0076, CVE-2014-0195, CVE-2014-0221, CVE-2014-3470, CVE-2014-0224.
Plus de précisions :
  • CVE-2014-0195

    Jueri Aedla a découvert qu'un dépassement de tampon dans le traitement des fragments DTLS pourrait conduire à l'exécution de code arbitraire ou à un déni de service.

  • CVE-2014-0221

    Imre Rad a découvert que le traitement de paquets hello DTLS était vulnérable à un déni de service.

  • CVE-2014-0224

    KIKUCHI Masashi a découvert que des négociations de connexion soigneusement contrefaites pouvaient obliger à l'utilisation de clés faibles, résultant dans de potentielles attaques du type « homme du milieu ».

  • CVE-2014-3470

    Felix Groebert et Ivan Fratric ont découvert que l'implémentation des suites de chiffrement ECDH anonymes est vulnérable à un déni de service.

  • CVE-2014-0076

    Correctif pour l'attaque décrite dans l'article « Recovering OpenSSL ECDSA Nonces Using the FLUSH+RELOAD Cache Side-channel Attack » rapportée par Yuval Yarom et Naomi Benger.

Des informations supplémentaires peuvent être trouvées à l'adresse http://www.openssl.org/news/secadv_20140605.txt.

Toutes les applications liées à openssl doivent être redémarrées. Vous pouvez utiliser l'outil checkrestart du paquet debian-goodies pour détecter les programmes affectés ou redémarrer votre système.

Il est important de mettre à niveau le paquet libssl0.9.8 et pas uniquement le paquet openssl.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 0.9.8o-4squeeze15 d'openssl.