Bulletin d'alerte Debian
DSA-4855-1 openssl -- Mise à jour de sécurité
- Date du rapport :
- 17 février 2021
- Paquets concernés :
- openssl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 947949.
Dans le dictionnaire CVE du Mitre : CVE-2019-1551, CVE-2021-23840, CVE-2021-23841. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une boîte à outils SSL (Secure Socket Layer). Un bogue de débordement dans la procédure x64_64 d’exponentiation rapide de Montgomery (« Montgomery squaring »), un dépassement d'entier dans CipherUpdate et un défaut de déréférencement de pointeur NULL de X509_issuer_and_serial_hash() pourraient avoir pour conséquence un déni de service.
Pour plus de détails, consultez les avertissements amont :" https://www.openssl.org/news/secadv/20191206.txt et https://www.openssl.org/news/secadv/20210216.txt.
Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 1.1.1d-0+deb10u5.
Nous vous recommandons de mettre à jour vos paquets openssl.
Pour disposer d'un état détaillé sur la sécurité de openssl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/openssl.