{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>OpenSSL versions ant\u00e9rieures \u00e0 0.9.6i et 0.9.7a.</P>","content":"## Description\n\nLors d'une session SSL/TLS utilisant le mode de chiffrement CBC (Cipher\nBlock Chaining) les temps de r\u00e9ponses du serveur peuvent diff\u00e9rer\nsuivant le type d'erreur rencontr\u00e9.\n\nUn utilisateur mal intentionn\u00e9 peut, sous certaines conditions,\nreconstituer un m\u00eame bloc de donn\u00e9es transitant dans plusieurs sessions\nchiffr\u00e9es en injectant des paquets judicieusement compos\u00e9s et en\nmesurant le temps de traitement de ces paquets.\n\nCette attaque peut permettre, par exemple, d'identifier un mot de passe\ndans une session SSL/TLS.\n\n## Solution\n\nAppliquer le correctif fourni par l'\u00e9diteur (Cf. section Documentation)\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 SuSE-SA:2003:011 de SuSE :","url":"http://www.suse.com/de/security/2003_011_openssl.html"},{"title":"Bulletin de s\u00e9curit\u00e9 RHSA-2003-062 de Red Hat :","url":"http://rhn.redhat.com/errata/RHSA-2003-062.html"},{"title":"Bulletin de s\u00e9curit\u00e9 d'OpenBSD du 22 f\u00e9vrier 2003 :","url":"http://www.openbsd.org/errata.html#ssl"},{"title":"Mise \u00e0 jour pour Mac OS X du 2003-03-03 :","url":"http://docs.info.apple.com/article.html?artnum=61798"},{"title":"Bulletin de s\u00e9curit\u00e9 MDKSA-2003:020 de Mandrake :","url":"http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:020"},{"title":"Bulletin de s\u00e9curit\u00e9 DSA-253 de Debian :","url":"http://www.debian.org/security/2003/dsa-253"},{"title":"Bulletin de s\u00e9curit\u00e9 FreeBSD-SA-03:02.openssl de FreeBSD :","url":"ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:02.openssl.asc"},{"title":"Avis de s\u00e9curit\u00e9 OpenSSL :","url":"http://www.openssl.org/news/secadv_20030219.txt"},{"title":"Bulletin de s\u00e9curit\u00e9 2003-001 de NetBSD :","url":"http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2003-001.txt.asc"}],"reference":"CERTA-2003-AVI-029","revisions":[{"description":"version initiale.","revision_date":"2003-02-21T00:00:00.000000"},{"description":"ajout r\u00e9f\u00e9rences aux bulletins de Debian, Mandrake, SuSE, OpenBSD, FreeBSD.","revision_date":"2003-02-27T00:00:00.000000"},{"description":"ajout r\u00e9f\u00e9rences aux bulletins de NetBSD, Apple et Red Hat.","revision_date":"2003-03-07T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans certaines impl\u00e9mentations du protocole\nSSL/TLS permet \u00e0 un utilisateur mal intentionn\u00e9 de retrouver le clair\nd'un contenu chiffr\u00e9.\n","title":"Vuln\u00e9rabilit\u00e9 dans SSL/TLS","vendor_advisories":[{"published_at":null,"title":"Bulletin OpenSSL","url":null}]}