Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités de OpenSSL.

Produits concernés : FabricOS, Cisco ASR, Cisco ATA, AnyConnect
VPN Client, Cisco ACE, ASA, AsyncOS, Cisco Catalyst, Cisco Content
SMA, Cisco ESA, IOS Cisco, IOS XE Cisco, IOS XR Cisco, Cisco IPS,
IronPort Encryption, Cisco Nexus, NX-OS, Cisco Prime, Cisco
Router, Secure ACS, Cisco CUCM, Cisco Manager Attendant Console,
Cisco Unified CCX, Cisco IP Phone, Cisco Unified Meeting Place,
Cisco Wireless IP Phone, Cisco Unity, Cisco WSA, Debian, BIG-IP
Hardware, TMOS, Fedora, FileZilla Server, FreeBSD, HP-UX, AIX,
IRAD, Security Directory Server, Junos Pulse, McAfee Email and Web
Security, McAfee Email Gateway, McAfee Web Gateway, OpenBSD,
OpenSSL, openSUSE, Solaris, pfSense, Puppet, RHEL, Slackware,
stunnel, SUSE Linux Enterprise Desktop, SLES, Synology DS***,
Synology RS***, Nessus, Ubuntu.

Gravité : 2/4.

Date création : 12/06/2015.

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans OpenSSL.

Un attaquant peut provoquer une boucle infinie via ECParameters,
afin de mener un déni de service. [grav:2/4 ; CVE-2015-1788]

Un attaquant peut forcer la lecture à une adresse invalide dans
X509_cmp_time(), afin de mener un déni de service. [grav:2/4 ;
CVE-2015-1789]

Un attaquant peut forcer le déréférencement d’un pointeur NULL
via EnvelopedContent, afin de mener un déni de service.
[grav:2/4 ; CVE-2015-1790]

Un attaquant peut provoquer une boucle infinie via CMS signedData,
afin de mener un déni de service. [grav:2/4 ; CVE-2015-1792]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/OpenSSL-quatre-vulnerabilites-17117