Bulletin d'alerte Debian

DSA-4855-1 openssl -- Mise à jour de sécurité

Date du rapport :
17 février 2021
Paquets concernés :
openssl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 947949.
Dans le dictionnaire CVE du Mitre : CVE-2019-1551, CVE-2021-23840, CVE-2021-23841.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une boîte à outils SSL (Secure Socket Layer). Un bogue de débordement dans la procédure x64_64 d’exponentiation rapide de Montgomery (« Montgomery squaring »), un dépassement d'entier dans CipherUpdate et un défaut de déréférencement de pointeur NULL de X509_issuer_and_serial_hash() pourraient avoir pour conséquence un déni de service.

Pour plus de détails, consultez les avertissements amont :" https://www.openssl.org/news/secadv/20191206.txt et https://www.openssl.org/news/secadv/20210216.txt.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 1.1.1d-0+deb10u5.

Nous vous recommandons de mettre à jour vos paquets openssl.

Pour disposer d'un état détaillé sur la sécurité de openssl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/openssl.