Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Toutes les versions de OpenSSL implémentant les extensions TLS. Ceci inclut :
- OpenSSL versions 0.9.8f à 0.9.8o ;
- OpenSSL versions 1.0.0 et 1.0.0a.
Résumé
Une vulnérabilité présente dans OpenSSL permet à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire.
Description
Une vulnérabilité est présente dans OpenSSL. Elle est relative à la gestion de la mise en cache interne. Ainsi seules sont vulnérables les applications mettant en œuvre du multi-threading et s'appuyant sur la mise en cache interne de OpenSSL. L'exploitation de cette faille permet à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité OpenSSL du 16 novembre 2010 http://www.openssl.org/news/secadv_20101116.txt
- Bulletin de sécurité Debian DSA-2125 du 22 novembre 2010 : http://www.debian.org/security/2010/dsa-2125
- Bulletin de sécurité FreeBSD FreeBSD-SA-10:10 du 29 novembre 2010 : http://security.freebsd.org/advisories/FreeBSD-SA-10:10.openssl.asc
- Bulletin de sécurité HP c03179825 du 02 février 2012 : http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03179825
- Bulletin de sécurité HP du HPSBUS02638 SSRT100339 du 03 mars 2011 : http://www.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c02737002
- Référence CVE CVE-2010-3864 https://www.cve.org/CVERecord?id=CVE-2010-3864
