Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Avis du CERTA : Vulnérabilités d’OpenSSL

octobre 2007 par CERTA

1 Risque

* Exécution de code arbitraire à distance ;
* atteinte à la confidentialité des données.

2 Systèmes affectés

OpenSSL, versions 0.9.8d et précédentes.

3 Résumé

Deux vulnérabilités affectent OpenSSL. La première permet à un utilisateur malveillant d’accéder à des données sensibles. La seconde permettrait à un utilisateur malveillant d’exécuter du code arbitraire à distance.

4 Description

Une erreur entache l’implantation de l’algorithme de multiplication avec réduction modulaire de Montgomery. Cette erreur permet à un utilisateur malveillant de reconstruire la clé secrète utilisée.

Un défaut de vérification de taille de tampon mémoire existe dans la fonction SSL_get_shared_ciphers. Cette vulnérabilité permet à un utilisateur malveillant de provoquer un déni de service et lui permettrait d’exécuter du code arbitraire à distance.

5 Solution

La version 0.9.8-stable corrige ces problèmes. Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).

6 Documentation

* Correctif OpenSSL du 29 juin 2007 :

http://openssl.org/news/patch-CVE-2007-3108.txt

* Bulletin OpenSSL du 19 septembre 2007 :

http://cvs.openssl.org/chngview?cn=16587

* Bulletin de sécurité Ubuntu USN-522-1 du 29 septembre 2007 :

http://www.ubuntulinux.org/usn/usn-522-1

* Bulletin de sécurité Debian DSA-1379-1 du 02 octobre 2007 :

http://www.debian.org/security/2007/dsa-1379

* Bulletin de sécurité FreeBSD SA-07:08 du 03 octobre 2007 :

http://security.freebsd.org/advisories/FreeBSD-SA-07:08.openssl.asc

* Référence CVE CVE-2007-3108 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3108

* Référence CVE CVE-2007-5135 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5135




Voir les articles précédents

    

Voir les articles suivants