Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2454-2 openssl

Bulletin d'alerte Debian

DSA-2454-2 openssl -- Plusieurs vulnérabilités

Date du rapport :

24 avril 2012

Paquets concernés :

openssl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-0884, CVE-2012-1165, CVE-2012-2110, CVE-2012-2131.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenSSL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2012-0884

  Ivan Nestlerode a découvert une faiblesse dans les implémentations de CMS et PKCS nº 7, pourraient pourraient permettre à un attaquant de déchiffrer les données à l'aide d'une attaque d'un million de message (MMA).

• CVE-2012-1165

  Un pointeur NULL pourrait être déréférencé lors de l'analyse de certains messages S/MIME, conduisant à un déni de service.

• CVE-2012-2110

  Tavis Ormandy, de l'équipe de sécurité de Google, a découvert une vulnérabilité dans la façon dont les données ASN.1 encodées DER sont analysées, ce qui peut permettre un dépassement de tas.

De plus, la correction pour CVE-2011-4619 a été mise à jour pour corriger un problème avec les établissements de communication SGC.

Tomas Hoger, Red Hat, a découvert que le correctif pour CVE-2012-2110 de la série 0.9.8 d'OpenSSL était incomplet. L'identifiant CVE-2012-2131 lui a été assigné.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 0.9.8o-4squeeze12.

Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.1a-1.

Nous vous recommandons de mettre à jour vos paquets openssl.