{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>Tout syst\u00e8me se basant sur OpenSSL pour  mettre en oeuvre les protocoles de session SSL et TLS.  <P>Se r\u00e9f\u00e9rer aux diff\u00e9rents bulletins de s\u00e9curit\u00e9 (cf. section  Solution) pour obtenir la liste des syst\u00e8mes vuln\u00e9rables.</P></p>","content":"## Description\n\nDeux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans le code g\u00e9rant la phase\nd'\u00e9tablissement des sessions SSL/TLS.\n\nA l'aide de trames habilement constitu\u00e9es, un utilisateur mal\nintentionn\u00e9 peut exploiter ces vuln\u00e9rabilit\u00e9s afin de provoquer l'arr\u00eat\nbrutal d'un service r\u00e9seau vuln\u00e9rable.\n\n  \n\nUn correctif de s\u00e9curit\u00e9 ajout\u00e9 \u00e0 la version 0.9.6d d'OpenSSL a\nintroduit une troisi\u00e8me vuln\u00e9rabilit\u00e9 (r\u00e9f\u00e9rence CAN-2004-0081).\n\nL'exploitation de cette vuln\u00e9rabilit\u00e9 entra\u00eene un d\u00e9ni de service par\nconsommation excessive des ressources de la machine.\n\n## Solution\n\n-   Les versions 0.9.7d et 0.9.6m d'OpenSSL corrigent ces vuln\u00e9rabilit\u00e9s\n    :\n\n        http://www.openssl.org\n\n-   Bulletin de s\u00e9curit\u00e9 RHSA-2004:120 de Red Hat :\n\n        http://rhn.redhat.com/errata/RHSA-2004-120.html\n\n-   Bulletin de s\u00e9curit\u00e9 RHSA-2004:121 de Red Hat :\n\n        http://rhn.redhat.com/errata/RHSA-2004-121.html\n\n-   Bulletin de s\u00e9curit\u00e9 RHSA-2004:139 de Red Hat :\n\n        http://rhn.redhat.com/errata/RHSA-2004-139.html\n\n-   Bulletin de s\u00e9curit\u00e9 DSA-465 de Debian :\n\n        http://www.debian.org/security/2004/dsa-465\n\n-   Bulletin de s\u00e9curit\u00e9 MDKSA-2004:023 de Mandrake :\n\n        http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:023\n\n-   Bulletin de s\u00e9curit\u00e9 SuSE-SA:2004:007 de SuSE :\n\n        http://www.suse.com/de/security/2004_07_openssl.html\n\n-   Bulletin de s\u00e9curit\u00e9 GLSA 200403-03 de Gentoo :\n\n        http://www.securityfocus.com/advisories/6460\n\n-   Bulletin de s\u00e9curit\u00e9 \\#57524 de Sun :\n\n        http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F57524\n\n-   Bulletin de s\u00e9curit\u00e9 FreeBSD-SA-04:05 de FreeBSD :\n\n        ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:05.openssl.asc\n\n-   Correctif pour OpenBSD du 17 mars 2004 :\n\n        http://www.openbsd.org/errata.html#openssl\n\n-   Bulletin de s\u00e9curit\u00e9 \"Cisco OpenSSL implementation vulnerability\" de\n    Cisco :\n\n        http://www.cisco.com/warp/public/707/cisco-sa-20040317-openssl.shtml\n\n-   Bulletin de s\u00e9curit\u00e9 \\#58466 de NetScreen :\n\n        http://www.netscreen.com/services/security/alerts/adv58466-signed.txt\n\n-   Bulletin de s\u00e9curit\u00e9 \"OpenSSL Vulnerability\" de Check Point :\n\n        http://www.checkpoint.com/techsupport/alerts/openssl.html\n\n-   Bulletin de s\u00e9curit\u00e9 NetBSD NetBSD-SA2004-005 :\n\n        ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2004-005.txt.asc\n\n-   Bulletin de s\u00e9curit\u00e9 HPSBUX01019 pour HP-UX :\n\n        http://www.securityfocus.com/advisories/6623\n\n-   Bulletin de s\u00e9curit\u00e9 HPSBMA01037 pour les agents de supervision HP\n    WBEM :\n\n        http://www.securityfocus.com/advisories/6674\n\n-   Mise \u00e0 jour de s\u00e9curit\u00e9 MacOS X :\n\n        http://www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-111/index.html\n","cves":[],"links":[],"reference":"CERTA-2004-AVI-095","revisions":[{"description":"version initiale.","revision_date":"2004-03-18T00:00:00.000000"},{"description":"ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de NetScreen.","revision_date":"2004-03-22T00:00:00.000000"},{"description":"ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Check Point.","revision_date":"2004-03-30T00:00:00.000000"},{"description":"ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de NetBSD.","revision_date":"2004-04-22T00:00:00.000000"},{"description":"ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Hewlett-Packard.","revision_date":"2004-04-27T00:00:00.000000"},{"description":"ajout r\u00e9f\u00e9rences au bulletin de s\u00e9curit\u00e9 de Hewlett-Packard pour les agents de supervision HP WEBM et \u00e0 l'avis du CERTA relatif au correctif de s\u00e9curit\u00e9 MacOS X.","revision_date":"2004-05-07T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service"}],"summary":"A l'aide de trames habilement constitu\u00e9es, un utilisateur mal\nintentionn\u00e9 peut r\u00e9aliser un d\u00e9ni de service par arr\u00eat brutal d'un\nservice r\u00e9seau vuln\u00e9rable.\n","title":"Multiples vuln\u00e9rabilit\u00e9s d'OpenSSL","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 d'OpenSSL du 17 mars 2004","url":"http://www.openssl.org/news/secadv_20040317.txt"},{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 224012 du NISCC","url":"http://www.uniras.gov.uk/vuls/2004/224012"}]}