Bulletin d'alerte Debian

DSA-4065-1 openssl1.0 -- Mise à jour de sécurité

Date du rapport :
17 décembre 2017
Paquets concernés :
openssl1.0
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-3737, CVE-2017-3738.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une boîte à outils associée à SSL (Secure Socket Layer). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2017-3737

    David Benjamin de Google a signalé que OpenSSL ne gère pas correctement SSL_read() et SSL_write() lorsqu'ils sont appelés dans un état d'erreur, faisant que les données sont transmises sans être déchiffrées ou chiffrées directement à partir de la couche « record » de SSL/TLS.

  • CVE-2017-3738

    OpenSSL renferme un bogue de débordement dans la procédure AVX2 de multiplication de Montgomery utilisée dans l'exponentiation avec des modulos 1024 bits.

Plus de détails sont disponibles dans l'annonce amont : https://www.openssl.org/news/secadv/20171207.txt

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.0.2l-2+deb9u2.

Nous vous recommandons de mettre à jour vos paquets openssl1.0.

Pour disposer d'un état détaillé sur la sécurité de openssl1.0, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/openssl1.0