LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2563-1 openssl

Bulletin d'alerte Debian

DLA-2563-1 openssl -- Mise à jour de sécurité pour LTS

Date du rapport :

18 février 2021

Paquets concernés :

openssl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2021-23840, CVE-2021-23841.

Plus de précisions :

Il a été découvert qu’il existait deux problèmes dans le système de chiffrement d’OpenSSL.

• CVE-2021-23840

  Les appels à EVP_CipherUpdate, EVP_EncryptUpdate et EVP_DecryptUpdate pouvaient dépasser l’argument de longueur de sortie dans certains cas où la longueur de l’entrée est proche de la longueur totale permise pour un entier sur la plateforme. Dans de tels cas, la valeur de retour de l’appel de fonction serait 1 (indication de réussite) mais la valeur de longueur de sortie serait négative. Cela pourrait obliger les applications à se comporter incorrectement ou à planter. OpenSSL versions 1.1.1i et précédentes sont affectées par ce problème. Les utilisateurs de telles versions devraient mettre à niveau vers OpenSSL 1.1.1j. OpenSSL versions 1.0.2x et précédentes sont affectées par ce problème. Cependant, OpenSSL 1.0.2 n’est plus pris en charge et ne reçoit plus de mises à jour publiques. Les utilisateurs de la prise en charge Premium d’OpenSSL 1.0.2 devraient mettre à niveau vers la version 1.0.2y. Les autres utilisateurs devraient le faire vers la version 1.1.1j. Problème corrigé dans OpenSSL 1.1.1j (version affectée 1.1.1-1.1.1i). Problème corrigé dans OpenSSL 1.0.2y (versions affectées 1.0.2-1.0.2x).

• CVE-2021-23841

  La fonction de l’API publique d’OpenSSL X509_issuer_and_serial_hash() essaie de créer une valeur de hachage unique basée sur l’émetteur et les données de numéro de série contenues dans le certificat X509. Cependant elle échoue à gérer correctement toute erreur survenant lors de l’analyse le champ de l’émetteur (ce qui peut se produire si le champ de l’émetteur est malveillant). Cela peut résulter dans un déréférencement de pointeur NULL et un plantage conduisant à attaque possible par déni de service.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1.1.0l-1~deb9u3.

Nous vous recommandons de mettre à jour vos paquets openssl.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.