Vulnérabilités dans OpenSSL

Gestion du document

Référence	CERTA-2011-AVI-496-001
Titre	Vulnérabilités dans OpenSSL
Date de la première version	07 septembre 2011
Date de la dernière version	16 septembre 2011
Source(s)	Bulletin de sécurité OpenSSL du 06 septembre 2011
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service à distance ;
contournement de la politique de sécurité.

Systèmes affectés

OpenSSL version 1.0.0d et antérieures ;
OpenSSL versions 0.9.8 à 0.9.8s (experimental « ECCdraft » ciphersuite).

Résumé

Deux vulnérabilités dans OpenSSL permettent à une personne malintentionnée de contourner la politique de sécurité ou de provoque un déni de service à distance.

Description

Deux vulnérabilités ont été découvertes dans OpenSSL :

une vulnérabilité dans le processus de vérification de certificats internes au serveur permet la validation d'une liste de révocation de certificats incorrecte. Cette vulnérabilité n'est présente que dans la branche 1.x d'OpenSSL (CVE-2011-3207) ;
une erreur dans la gestion des messages de négociation de session d'OpenSSL server code for ephemeral ECDH ciphersuite permet à une personne distante malintentionnée de provoquer un déni de service (CVE-2011-3210.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité OpenSSL du 06 septembre 2011 :
```
http://www.openssl.org/news/secadv_20110906.txt
```

Bulletin de sécurité Fedora FEDORA-2011-12281 du 10 septembre 2011 :

http://lists.fedoraproject.org/pipermail/package-announce/2011-September/065712.html

Référence CVE CVE-2011-3207 :

https://www.cve.org/CVERecord?id=CVE-2011-3207

Référence CVE CVE-2011-3210 :

https://www.cve.org/CVERecord?id=CVE-2011-3210

Gestion détaillée du document

le 07 septembre 2011: version initiale.

le 16 septembre 2011: ajout d'une référence au bulletin Fedora.

Avis du CERT-FR

Objet: Vulnérabilités dans OpenSSL