Risque
- Contournement de la politique de sécurité
Systèmes affectés
- versions inférieures à 0.9.8q et 1.0.x avant 1.0.0c (CVE-2010-4180) ;
- versions inférieures à 1.0.0c (CVE-2010-4252) ;
Résumé
Deux vulnérabilités ont été corrigées dans OpenSSL. Elles permettent à un utilisateur de contourner la politique de sécurité.
Description
La première vulnérabilité corrigée (CVE-2010-4180) permet à un utilisateur malveillant de forcer les connexions futures à utiliser un algorithme de chiffrement faible.
La seconde (CVE-2010-4252) permet à un utilisateur malveillant de s'authentifier sans connaître le secret partagé lorsque le protocole J-PAKE est utilisé.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité OpenSSL du 02 décembre 2010 http://www.openssl.org/news/secadv_20101202.txt
- Bulletin de sécurité HP HPSBUS02638 SSRT100339 du 03 mars 2011 : http://www.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c02737002
- Bulletin de sécurité Oracle Solaris du 29 avril 2011 : http://blogs.sun.com/security/entry/cve_2010_4180_affects_openssl
- Référence CVE CVE-2010-4180 https://www.cve.org/CVERecord?id=CVE-2010-4180
- Référence CVE CVE-2010-4252 https://www.cve.org/CVERecord?id=CVE-2010-4252