Vigil@nce - OpenSSL : trois vulnérabilités
janvier 2017 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de OpenSSL.
Produits concernés : Cisco ASR, Cisco Aironet, Cisco ATA, Cisco
AnyConnect Secure Mobility Client, ASA, AsyncOS, Cisco Content
SMA, Cisco ESA, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, Nexus
par Cisco, NX-OS, Cisco Prime Access Registrar, Prime
Collaboration Assurance, Prime Collaboration Manager, Cisco Prime
DCNM, Prime Infrastructure, Cisco Prime LMS, Cisco Router, Secure
ACS, Cisco CUCM, Cisco Unified CCX, Cisco IP Phone, Cisco
MeetingPlace, Cisco Wireless IP Phone, Cisco WSA, Cisco Wireless
Controller, NetWorker, VNX Operating Environment, VNX Series,
OpenSSL.
Gravité : 2/4.
Date création : 10/11/2016.
Date révision : 13/12/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans OpenSSL.
Un attaquant peut provoquer un buffer overflow via
ChaCha20/Poly1305, afin de mener un déni de service. [grav:2/4 ;
CVE-2016-7054]
Un attaquant peut forcer le déréférencement d’un pointeur NULL
via CMS Structures, afin de mener un déni de service. [grav:2/4 ;
CVE-2016-7053]
Une erreur se produit dans la Broadwell-specific Montgomery
Multiplication Procedure, mais sans impact apparent. [grav:1/4 ;
CVE-2016-7055]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/OpenSSL-trois-vulnerabilites-21093