Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3566-1 openssl

Bulletin d'alerte Debian

DSA-3566-1 openssl -- Mise à jour de sécurité

Date du rapport :

3 mai 2016

Paquets concernés :

openssl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-2105, CVE-2016-2106, CVE-2016-2107, CVE-2016-2108, CVE-2016-2109.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une boîte à outils associée à SSL (Secure Socket Layer).

• CVE-2016-2105

  Guido Vranken a découvert qu'un dépassement pouvait se produire dans la fonction EVP_EncodeUpdate(), utilisée pour l'encodage Base64, si un attaquant pouvait fournir une grande quantité de données. Cela pourrait conduire à une corruption de zone de mémoire du système.

• CVE-2016-2106

  Guido Vranken a découvert qu'un dépassement pouvait se produire dans la fonction EVP_EncryptUpdate() si un attaquant pouvait fournir une grande quantité de données. Cela pourrait conduire à une corruption de zone de mémoire du système.

• CVE-2016-2107

  Juraj Somorovsky a découvert une attaque d'oracle par remplissage dans l'implémentation du chiffrement par bloc AES CBC basé sur l'ensemble d'instructions AES-NI. Cela pourrait permettre à un attaquant de décoder le trafic TLS chiffré avec une des suites de chiffrement basées sur AES CBC.

• CVE-2016-2108

  David Benjamin de Google a découvert que deux bogues distincts dans l'encodeur ASN.1, relatifs au traitement de valeurs d'entier zéro négatif et de grands « universal tags », pourrait conduire à une écriture hors limites.

• CVE-2016-2109

  Brian Carpenter a découvert que, lors de la lecture de données ASN.1 à partir d'un BIO utilisant des fonctions telles que d2i_CMS_bio(), un encodage court incorrect peut provoquer l'allocation d'une grande quantité de mémoire et éventuellement une consommation excessive de ressources ou l'épuisement de la mémoire.

Des informations supplémentaires sur ces problèmes peuvent être trouvées dans l'annonce de sécurité d'OpenSSL à l'adresse https://www.openssl.org/news/secadv/20160503.txt

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.0.1k-3+deb8u5.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.2h-1.

Nous vous recommandons de mettre à jour vos paquets openssl.