Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • versions inférieures à 0.9.8q et 1.0.x avant 1.0.0c (CVE-2010-4180) ;
  • versions inférieures à 1.0.0c (CVE-2010-4252) ;

Résumé

Deux vulnérabilités ont été corrigées dans OpenSSL. Elles permettent à un utilisateur de contourner la politique de sécurité.

Description

La première vulnérabilité corrigée (CVE-2010-4180) permet à un utilisateur malveillant de forcer les connexions futures à utiliser un algorithme de chiffrement faible.

La seconde (CVE-2010-4252) permet à un utilisateur malveillant de s'authentifier sans connaître le secret partagé lorsque le protocole J-PAKE est utilisé.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation