Bulletin d'alerte Debian

DSA-2454-2 openssl -- Plusieurs vulnérabilités

Date du rapport :
24 avril 2012
Paquets concernés :
openssl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-0884, CVE-2012-1165, CVE-2012-2110, CVE-2012-2131.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenSSL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2012-0884

    Ivan Nestlerode a découvert une faiblesse dans les implémentations de CMS et PKCS nº 7, pourraient pourraient permettre à un attaquant de déchiffrer les données à l'aide d'une attaque d'un million de message (MMA).

  • CVE-2012-1165

    Un pointeur NULL pourrait être déréférencé lors de l'analyse de certains messages S/MIME, conduisant à un déni de service.

  • CVE-2012-2110

    Tavis Ormandy, de l'équipe de sécurité de Google, a découvert une vulnérabilité dans la façon dont les données ASN.1 encodées DER sont analysées, ce qui peut permettre un dépassement de tas.

De plus, la correction pour CVE-2011-4619 a été mise à jour pour corriger un problème avec les établissements de communication SGC.

Tomas Hoger, Red Hat, a découvert que le correctif pour CVE-2012-2110 de la série 0.9.8 d'OpenSSL était incomplet. L'identifiant CVE-2012-2131 lui a été assigné.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 0.9.8o-4squeeze12.

Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.1a-1.

Nous vous recommandons de mettre à jour vos paquets openssl.