Bulletin d'alerte Debian

DLA-2565-1 openssl1.0 -- Mise à jour de sécurité pour LTS

Date du rapport :
18 février 2021
Paquets concernés :
openssl1.0
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-23840, CVE-2021-23841.
Plus de précisions :

Il a été découvert qu’il existait deux problèmes dans la branche 1.0 du système de chiffrement OpenSSL.

  • CVE-2021-23840

    Les appels à EVP_CipherUpdate, EVP_EncryptUpdate et EVP_DecryptUpdate pouvaient dépasser l’argument de longueur de sortie dans certains cas où la longueur de l’entrée est proche de la longueur totale permise pour un entier sur la plateforme. Dans de tels cas, la valeur de retour de l’appel de fonction serait 1 (indication de réussite) mais la valeur de longueur de sortie serait négative. Cela pourrait entraîner un comportement incorrect ou un plantage des applications. OpenSSL versions 1.1.1i et précédentes sont affectées par ce problème. Les utilisateurs de telles versions devraient mettre à niveau vers OpenSSL 1.1.1j. OpenSSL versions 1.0.2x et précédentes sont affectées par ce problème. Cependant, OpenSSL 1.0.2 n’est plus pris en charge et ne reçoit plus de mises à jour publiques. Les utilisateurs de la prise en charge Premium d’OpenSSL 1.0.2 devraient mettre à niveau vers la version 1.0.2y. Les autres utilisateurs devraient le faire vers la version 1.1.1j. Problème corrigé dans OpenSSL 1.1.1j (version affectée 1.1.1-1.1.1i). Problème corrigé dans OpenSSL 1.0.2y (versions affectées 1.0.2-1.0.2x).

  • CVE-2021-23841

    La fonction de l’API publique d’OpenSSL X509_issuer_and_serial_hash() essaie de créer une valeur de hachage unique basée sur l’émetteur et les données de numéro de série contenues dans le certificat X509. Cependant elle échoue à gérer correctement toute erreur survenant lors de l’analyse le champ de l’émetteur (ce qui peut se produire si le champ de l’émetteur est malveillant). Cela peut résulter dans un déréférencement de pointeur NULL et un plantage conduisant à attaque possible par déni de service.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1.0.2u-1~deb9u4. Pour les modifications équivalentes dans la branche 1.1, veuillez consulter l’annonce DLA-2563-1.

Nous vous recommandons de mettre à jour vos paquets openssl1.0.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.