Bulletin d'alerte Debian

DSA-2908-1 openssl -- Mise à jour de sécurité

Date du rapport :

17 avril 2014

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 742923.
Dans le dictionnaire CVE du Mitre : CVE-2010-5298, CVE-2014-0076.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenSSL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

CVE-2010-5298
Un tampon de lecture peut être libéré même s'il contient toujours des données qui seront utilisées plus tard, ce qui mène à une utilisation de mémoire après libération. Dans une situation de compétition dans une application multiprocessus, cela pourrait permettre à un attaquant d'injecter des données d'une connexion dans une autre ou de causer un déni de service.
CVE-2014-0076
Les nonces (nombres à usage unique) ECDSA peuvent être récupérés grâce à l'attaque par canal auxiliaire Yarom/Benger FLUSH+RELOAD.

Un troisième problème, n'ayant pas d'identifiant CVE, est l'absence de détection du drapeau critique pour l'utilisation de clé étendue TSA dans certains cas.

De plus, cette mise à jour cherche plus de services qui pourraient avoir besoin d'être redémarrés après les mises à niveau de libssl, corrige la détection d'apache2 et postgresql et ajoute la prise en charge pour la configuration debconf bibliothèques/redémarrer sans demander. Cela permet aux services d'être relancés sans sollicitation lors des mises à niveau.

La distribution oldstable (Squeeze) n'est pas concernée par CVE-2010-5298 et peut être mise à jour plus tard pour corriger les vulnérabilités restantes.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u7.

Pour la distribution testing (Jessie), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.1g-3.

Nous vous recommandons de mettre à jour vos paquets openssl.