vigil@nce : OpenSSL, multiples vulnérabilités
avril 2009 par Vigil@nce
Trois vulnérabilités d’OpenSSL permettent à un attaquant de mener
un déni de service ou de contourner les validations.
– Gravité : 2/4
– Conséquences : transit de données, déni de service du service
– Provenance : document
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 3
– Date création : 26/03/2009
PRODUITS CONCERNÉS
– OpenSSL
DESCRIPTION DE LA VULNÉRABILITÉ
Trois vulnérabilités d’OpenSSL permettent à un attaquant de mener
un déni de service ou de contourner les validations.
Lorsque la taille d’une chaîne ASN.1 est invalide, une erreur se
produit dans la fonction ASN1_STRING_print_ex() et stoppe
l’application. [grav:2/4 ; CVE-2009-0590]
Lorsque les attributs d’une signature sont malformés, la fonction
CMS_verify() indique que la signature est valide. [grav:2/4 ;
CVE-2009-0591]
Sur certaines plateformes (comme Win64), la remise à zéro d’une
zone mémoire contenant des données ASN.1 provoque une erreur, qui
stoppe l’application. [grav:1/4 ; CVE-2009-0789]
CARACTÉRISTIQUES
– Références : BID-34256, CVE-2009-0590, CVE-2009-0591,
CVE-2009-0789, secadv_20090325, VIGILANCE-VUL-8563
– Url : http://vigilance.fr/vulnerabilite/OpenSSL-multiples-vulnerabilites-8563