Risque
- Déni de service à distance
Systèmes affectés
OpenSSL, version 0.9.8g et versions antérieures.
Résumé
Deux vulnérabilités dans OpenSSL permettent à un utilisateur malveillant de provoquer un déni de service à distance.
Description
La première vulnérabilité concerne les versions du logiciel OpenSSL compilées en utilisant, pour les noms de serveurs TLS, des extensions qui ne sont pas les extensions par défaut. Par le biais d'un paquet conçu à cet effet, un utilisateur malveillant peut provoquer un arrêt inopiné (crash) du programme.
La deuxième vulnérabilité est relative à la négociation en début de session TLS. Si un client se connecte avec certaines options cryptographiques sur un serveur malveillant, ce dernier peut provoquer un arrêt inopiné (crash) du client.
Solution
La version 0.9.8h résout ces problèmes.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Nortel 2008009822 du 25 juin 2008 : http://support.nortel.com/go/main.jsp?cscat=BLTDETAIL&id=738400
- Bulletin de sécurité Nortel 2008009823 du 25 juin 2008 : http://support.nortel.com/go/main.jsp?cscat=BLTDETAIL&id=738962
- Bulletin de sécurité du projet OpenSSL du 28 mai 2008 : http://www.openssl.org/news/secadv_20080528.txt
- Référence CVE CVE-2008-0891 https://www.cve.org/CVERecord?id=CVE-2008-0891
- Référence CVE CVE-2008-1672 https://www.cve.org/CVERecord?id=CVE-2008-1672
