Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2950-1 openssl

Bulletin d'alerte Debian

DSA-2950-1 openssl -- Mise à jour de sécurité

Date du rapport :

5 juin 2014

Paquets concernés :

openssl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-0195, CVE-2014-0221, CVE-2014-0224, CVE-2014-3470.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenSSL :

• CVE-2014-0195

  Jueri Aedla a découvert qu'un dépassement de tampon dans le traitement des fragments DTLS pourrait conduire à l'exécution de code arbitraire ou à un déni de service.

• CVE-2014-0221

  Imre Rad a découvert que le traitement de paquets hello DTLS était vulnérable à un déni de service .

• CVE-2014-0224

  KIKUCHI Masashi a découvert que des négociations de connexion soigneusement contrefaites pouvaient obliger à l'utilisation de clés faibles, résultant dans de potentielles attaques du type « homme du milieu ».

• CVE-2014-3470

  Felix Groebert et Ivan Fratric ont découvert que l'implémentation des suites de chiffrement ECDH anonymes est vulnérable à un déni de service.

Des informations supplémentaires peuvent être trouvées à l'adresse http://www.openssl.org/news/secadv_20140605.txt

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u10. Toutes les applications liées à openssl doivent être redémarrées. Vous pouvez utiliser l'outil checkrestart du paquet debian-goodies pour détecter les programmes affectés ou redémarrer votre système. Il y a aussi une mise à jour de sécurité du noyau Linux à paraître plus tard aujourd'hui (CVE-2014-3153), donc vous aurez à redémarrer de toute façon. Synchronisation parfaite, n'est-ce pas ?

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets openssl.