Bulletin d'alerte Debian
DSA-2454-2 openssl -- Plusieurs vulnérabilités
- Date du rapport :
- 24 avril 2012
- Paquets concernés :
- openssl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2012-0884, CVE-2012-1165, CVE-2012-2110, CVE-2012-2131.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans OpenSSL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2012-0884
Ivan Nestlerode a découvert une faiblesse dans les implémentations de CMS et PKCS nº 7, pourraient pourraient permettre à un attaquant de déchiffrer les données à l'aide d'une attaque d'un million de message (MMA).
- CVE-2012-1165
Un pointeur NULL pourrait être déréférencé lors de l'analyse de certains messages S/MIME, conduisant à un déni de service.
- CVE-2012-2110
Tavis Ormandy, de l'équipe de sécurité de Google, a découvert une vulnérabilité dans la façon dont les données ASN.1 encodées DER sont analysées, ce qui peut permettre un dépassement de tas.
De plus, la correction pour CVE-2011-4619 a été mise à jour pour corriger un problème avec les établissements de communication SGC.
Tomas Hoger, Red Hat, a découvert que le correctif pour CVE-2012-2110 de la série 0.9.8 d'OpenSSL était incomplet. L'identifiant CVE-2012-2131 lui a été assigné.
Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 0.9.8o-4squeeze12.
Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.1a-1.
Nous vous recommandons de mettre à jour vos paquets openssl.
- CVE-2012-0884