Risque
- Déni de service à distance
Systèmes affectés
- OpenSSL 0.9.x.
Résumé
Deux vulnérabilités découvertes dans OpenSSL permettent à un utilisateur distant malintentionné de provoquer un déni de service.
Description
Deux vulnérabiliés causées par un manque de contrôle dans le traitement des enregistrements et messages de type DTLS (Datagram Transport Layer Security), peuvent être exploitées pour réaliser un déni de service par consommation de mémoire excessive.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité OpenSSL #1838, #1923, #1930 et #1931 http://rt.openssl.org/Ticket/Display.html?id=1931
- Bulletin de sécurité IBM du 29 juin 2009 : http://aix.software.ibm.com/aix/efixes/security/ssl_advisory.asc
- Bulletin de sécurité Ubuntu USN-792-1 du 25 juin 2009 : https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000923.html
- Site Internet de l'éditeur OpenSSL : http://www.openssl.org/
- Référence CVE CVE-2009-1377 https://www.cve.org/CVERecord?id=CVE-2009-1377
- Référence CVE CVE-2009-1378 https://www.cve.org/CVERecord?id=CVE-2009-1378
- Référence CVE CVE-2009-1379 https://www.cve.org/CVERecord?id=CVE-2009-1379
- Référence CVE CVE-2009-1386 https://www.cve.org/CVERecord?id=CVE-2009-1386
- Référence CVE CVE-2009-1387 https://www.cve.org/CVERecord?id=CVE-2009-1387