Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-4018-1 openssl

Bulletin d'alerte Debian

DSA-4018-1 openssl -- Mise à jour de sécurité

Date du rapport :

4 novembre 2017

Paquets concernés :

openssl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2017-3735, CVE-2017-3736.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une boîte à outils SSL (Secure Socket Layer). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2017-3735

  OpenSSL est prédisposé à une lecture de tampon hors limite d'un octet lors de l'analyse d'une extension IPAddressFamily malformée dans un certificat X.509.

  Pour plus de détails, consultez l'avertissement amont : https://www.openssl.org/news/secadv/20170828.txt

• CVE-2017-3736

  OpenSSL contient un bogue de propagation de retenue dans la procédure x86_64 de la quadrature de Montgomery (« Montgomery squaring »).

  Pour plus de détails, consultez l'avertissement amont : https://www.openssl.org/news/secadv/20171102.txt

Pour la distribution oldstable (Jessie), CVE-2017-3735 a été corrigé dans la version 1.0.1t-1+deb8u7. La distribution oldstable n'est pas affectée par CVE-2017-3736.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.1.0f-3+deb9u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.1.0g-1.

Nous vous recommandons de mettre à jour vos paquets openssl.