Bulletin d'alerte Debian

DLA-637-1 openssl -- Mise à jour de sécurité pour LTS

Date du rapport :
25 septembre 2016
Paquets concernés :
openssl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182, CVE-2016-6302, CVE-2016-6303, CVE-2016-6304, CVE-2016-6306.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenSSL :

  • CVE-2016-2177

    Guido Vranken a découvert qu'OpenSSL utilise un pointeur arithmétique non défini. Des informations supplémentaires peuvent être trouvées à l'adresse https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/.

  • CVE-2016-2178

    Cesar Pereida, Billy Brumley et Yuval Yarom ont découvert une fuite de temporisation dans le code de DSA.

  • CVE-2016-2179 / CVE-2016-2181

    Quan Luo et l'équipe d'audit OCAP ont découvert des vulnérabilités de déni de service dans DTLS.

  • CVE-2016-2180 / CVE-2016-2182 / CVE-2016-6303

    Shi Lei a découvert une lecture de mémoire hors limites dans TS_OBJ_print_bio() et une écriture hors limites dans BN_bn2dec() et dans MDC2_Update().

  • CVE-2016-2183

    Les suites de chiffrement basées sur DES sont rétrogradées du groupe HIGH au groupe MEDIUM pour atténuer l'attaque SWEET32.

  • CVE-2016-6302

    Shi Lei a découvert que l'utilisation de SHA512 dans les tickets de session TLS est vulnérable à un déni de service.

  • CVE-2016-6304

    Shi Lei a découvert qu'une requête d'état OCSP excessivement grande peut avoir pour conséquence un déni de service par une surconsommation de mémoire.

  • CVE-2016-6306

    Shi Lei a découvert que l'absence de vérification de longueur de message lors de l'analyse de certificats peut éventuellement avoir pour conséquence un déni de service.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.0.1t-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets openssl et libssl1.0.0.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.