Risques

  • Déni de service
  • Exécution de code arbitraire

Systèmes affectés

Tout système possédant les versions 0.9.6d et antérieures, les versions 0.9.7-beta2 et antérieures (y compris les versions en développement collectées sur le CVS) de OpenSSL est vulnérable. Un système 32 bits possédant la version 0.9.6d sur laquelle SSL 2.0 est désactivé n'est pas vulnérable.

De nombreux produits incluent OpenSSL en standard et sont donc tout autant vulnérables (Consultez la section Documentation).

Résumé

Plusieurs vulnérabilités de type débordement de mémoire permettent à un utilisateur mal intentionné de provoquer l'exécution de code arbitraire ou un déni de service.

Description

OpenSSL est une librairie de fonctions créée pour implémenter les protocoles SSL (Secure Sockets Layer), TLS (Transport Layer Security) ainsi que de nombreux utilitaires de cryptographie. Plusieurs vulnérabilités ont été découvertes permettant à un utilisateur mal intentionné d'exécuter du code arbitraire ou de provoquer un déni de service.

Contournement provisoire

Désactiver le support de SSL 2.0, désactiver les applications utilisant SSL ou TLS en attendant que le correctif soit appliqué. Les utilisateurs des versions de développement pr�-0.9.7 utilisant Kerberos doivent aussi désactiver Kerberos.

Solution

Téléchargez le ou les correctifs correspondants à la version d'OpenSSL installée sur votre système (cf. section documentation)

Documentation