Risques
- Déni de service
- Exécution de code arbitraire
Systèmes affectés
Tout système possédant les versions 0.9.6d
et antérieures, les versions 0.9.7-beta2
et antérieures (y compris les versions en développement collectées sur le CVS) de OpenSSL
est vulnérable. Un système 32 bits possédant la version 0.9.6d
sur laquelle SSL 2.0
est désactivé n'est pas vulnérable.
De nombreux produits incluent OpenSSL
en standard et sont donc tout autant vulnérables (Consultez la section Documentation).
Résumé
Plusieurs vulnérabilités de type débordement de mémoire permettent à un utilisateur mal intentionné de provoquer l'exécution de code arbitraire ou un déni de service.
Description
OpenSSL est une librairie de fonctions créée pour implémenter les protocoles SSL (Secure Sockets Layer), TLS (Transport Layer Security) ainsi que de nombreux utilitaires de cryptographie. Plusieurs vulnérabilités ont été découvertes permettant à un utilisateur mal intentionné d'exécuter du code arbitraire ou de provoquer un déni de service.
Contournement provisoire
Désactiver le support de SSL 2.0
, désactiver les applications
utilisant SSL
ou TLS
en attendant que le correctif soit appliqué.
Les utilisateurs des versions de développement pr�-0.9.7
utilisant
Kerberos
doivent aussi désactiver Kerberos
.
Solution
Téléchargez le ou les correctifs correspondants à la version d'OpenSSL installée sur votre système (cf. section documentation)
Documentation
- Avis #CA-2002-23 du CERT CC http://www.cert.org/advisories/CA-2002-23.html
- Bulletin de sécurité #37 d'Oracle : http://technet.oracle.com/deploy/security/pdf/openssl/Alert.pdf
- Bulletin de sécurité #46424 de SUN : http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F46424
- Bulletin de sécurité #46605 de SUN : http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F46605
- Bulletin de sécurité #DSA-136-2 Debian : http://www.debian.org/security/2002/dsa-136
- Bulletin de sécurité #MDKSA-2002:046 de Mandrake : http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-046.php
- Bulletin de sécurité #NETBSD-SA2002-009 de NetBSD : ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-009.txt.asc
- Bulletin de sécurité #RHSA-2002:160-21 de RedHat : http://rhn.redhat.com/errata/RHSA-2002-160.html
- Bulletin de sécurité #SuSE-SA:2002:027 de SuSE : http://www.suse.com/de/security/2002_027_openssl.html
- Bulletin de sécurité 2002-08-02 de apple : http://www.info.apple.com/usen/security/security_updates.html
- Bulletin de sécurité de #SSRT2310a de Hewlett Packard/Compaq http://thenew.hp.com/country/fr/fre/support.html
- Le site d'OpenSSL : http://www.openssl.org/
- Le site du module SSL du serveur WEB Apache : http://www.apache-ssl.org/