{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"

Tout syst\u00e8me utilisant OpenSSL en versions sources 0.9.7 jusqu'\u00e0 0.9.7g ou 0.9.8 et les betas ant\u00e9rieures.

Par extension, sont concern\u00e9s tous les serveurs utilisant OpenSSL pour le support de SSL/TLS. En particulier les versions SSL du serveur web Apache, des serveurs de courrier qmail, postfix, Exim, du serveur d'annuaire OpenLDAP,...peuvent \u00eatre impact\u00e9s.

","content":"## Description\n\nOpenSSL est une mise en oeuvre \u00ab open source \u00bb des protocoles Secure\nSockets Layer (SSL) et Transport Layer Security (TLS). OpenSSL est\nlargement utilis\u00e9 comme biblioth\u00e8que pour s\u00e9curiser des protocoles\napplicatifs sur l'Internet.\n\nLes versions du protocole SSL usuellement support\u00e9e sont v2 et v3,\nsachant que l'on peut assimiler TLS \u00e0 une version v3.1. Cependant le\nsupport de v2 n'est conserv\u00e9 que pour des raisons de compatibilit\u00e9\nascendante et n'est plus vraiment justifi\u00e9 de nos jours la v3 datant de\nnovembre 1996. L'usage de SSLv2 est fortement d\u00e9conseill\u00e9 \u00e9tant donn\u00e9\ndes faiblesses cryptographiques majeures qui ont conduit \u00e0 l'\u00e9laboration\nde la version v3.\n\nL'usage d'un code, d\u00e9velopp\u00e9 pour assurer la compatibilit\u00e9 avec des\nproduits tiers, supprime la v\u00e9rification d'une \u00e9ventuelle attaque en\nr\u00e9gression sur la version n\u00e9goci\u00e9e, lors de l'\u00e9tablissement d'une\nsession SSLv2.\n\nIl est ainsi possible, pour un utilisateur en position d'interception,\nde forcer l'utilisation de SSLv2 entre 2 parties alors que SSLv3 ou TLS\n\u00e9taient possibles. Celui-ci pourra alors tenter d'exploiter les\nfaiblesses de SSLv2 pour attenter \u00e0 la confidentialit\u00e9 de l'\u00e9change.\n\n## Contournement provisoire\n\nD\u00e9sactiver le support de SSLv2 dans toute application utilisant OpenSSL.\n\n## Solution\n\nMettre \u00e0 jour les sources en versions 0.9.7h ou 0.9.8a au moins, ou se\nr\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Site internet d'OpenSSL :","url":"http://www.openssl.org"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA 888 du 07 novembre 2005 pour OpenSSL :","url":"http://www.debian.org/security/2005/dsa-888"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA 875 du 27 octobre 2005 pour OpenSSL 0.9.4 :","url":"http://www.debian.org/security/2005/dsa-875"},{"title":"Linux Fedora : Fedora Core 3 du 31 octobre 2005 : \n Fedora Core 4 du 13 octobre 2005 :","url":"http://marc.theaimsgroup.com/?l=fedora-announce-list&m=11307879729070"},{"title":"Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2005:179 du 11 octobre 2005 :","url":"http://www.mandriva.com/security/advisories?name=MDKSA-2005:179"},{"title":"Bulletin de s\u00e9curit\u00e9 FreeBSD SA-05-21 du 11 octobre 2005 :","url":"ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05-21.openssl.asc"},{"title":"Debian GNU/Linux : Bulletin de s\u00e9curit\u00e9 Debian DSA 875 du 27 octobre 2005 pour OpenSSL 0.9.4 : \n Bulletin de s\u00e9curit\u00e9 Debian DSA 881 du 04 novembre 2005 pour OpenSSL 0.9.6 : \n Bulletin de s\u00e9curit\u00e9 Debian DSA 882 du 04 novembre 2005 pour OpenSSL 0.9.5 : \n Bulletin de s\u00e9curit\u00e9 Debian DSA 888 du 07 novembre 2005 pour OpenSSL :","url":"http://www.debian.org/security/2005/dsa-875"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA 881 du 04 novembre 2005 pour OpenSSL 0.9.6 :","url":"http://www.debian.org/security/2005/dsa-881"},{"title":"Debian GNU/Linux : Bulletin de s\u00e9curit\u00e9 Debian DSA 875 du 27 octobre 2005 pour OpenSSL 0.9.4 : \n Bulletin de s\u00e9curit\u00e9 Debian DSA 881 du 04 novembre 2005 pour OpenSSL 0.9.6 : \n Bulletin de s\u00e9curit\u00e9 Debian DSA 882 du 04 novembre 2005 pour OpenSSL 0.9.5 : \n Bulletin de s\u00e9curit\u00e9 Debian DSA 888 du 07 novembre 2005 pour OpenSSL :","url":"http://www.debian.org/security/2005/dsa-882"},{"title":"Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2005:800 du 11 octobre 2005 :","url":"http://rhn.redhat.com/errata/RHSA-2005-800.html"},{"title":"Debian GNU/Linux : Bulletin de s\u00e9curit\u00e9 Debian DSA 875 du 27 octobre 2005 pour OpenSSL 0.9.4 : \n Bulletin de s\u00e9curit\u00e9 Debian DSA 881 du 04 novembre 2005 pour OpenSSL 0.9.6 : \n Bulletin de s\u00e9curit\u00e9 Debian DSA 882 du 04 novembre 2005 pour OpenSSL 0.9.5 : \n Bulletin de s\u00e9curit\u00e9 Debian DSA 888 du 07 novembre 2005 pour OpenSSL :","url":"http://www.debian.org/security/2005/dsa-888"},{"title":"Bulletin de s\u00e9curit\u00e9 Gentoo GLSA-200510-11 du 12 octobre 2005 :","url":"http://www.gentoo.org/security/en/glsa/glsa-200510-11.xml"},{"title":"Debian GNU/Linux : Bulletin de s\u00e9curit\u00e9 Debian DSA 875 du 27 octobre 2005 pour OpenSSL 0.9.4 : \n Bulletin de s\u00e9curit\u00e9 Debian DSA 881 du 04 novembre 2005 pour OpenSSL 0.9.6 : \n Bulletin de s\u00e9curit\u00e9 Debian DSA 882 du 04 novembre 2005 pour OpenSSL 0.9.5 : \n Bulletin de s\u00e9curit\u00e9 Debian DSA 888 du 07 novembre 2005 pour OpenSSL :","url":"http://www.debian.org/security/2005/dsa-881"},{"title":"Bulletin de s\u00e9curit\u00e9 SUSE SuSE-SA:2005:061 du 19 octobre 2005 :","url":"http://www.novell.com/linux/security/advisories/2005_61_openssl.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Cisco du 02 d\u00e9cembre 2005 :","url":"http://www.cisco.com/warp/public/707/cisco-response-20051202-openssl.shtml"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA 882 du 04 novembre 2005 pour OpenSSL 0.9.5 :","url":"http://www.debian.org/security/2005/dsa-882"},{"title":"Fedora Core 4 du 13 octobre 2005 :","url":"http://marc.theaimsgroup.com/?l=fedora-announce-list&m=112931336325090"},{"title":"Fedora Core 3 du 31 octobre 2005 :","url":"http://marc.theaimsgroup.com/?l=fedora-announce-list&m=11307879729070"},{"title":"Bulletin de s\u00e9curit\u00e9 Sun #101974 du 11 octobre 2005 pour Solaris 10 :","url":"http://sunsolve.sun.com/search/document.do?assetkey=1-26-101974-1"},{"title":"Bulletin de s\u00e9curit\u00e9 Juniper du 08 d\u00e9cembre 2005 :","url":"http://www.juniper.net/support/security/alerts/PSN-2005-12-025.txt"},{"title":"Linux Fedora : Fedora Core 3 du 31 octobre 2005 : \n Fedora Core 4 du 13 octobre 2005 :","url":"http://marc.theaimsgroup.com/?l=fedora-announce-list&m=112931336325090"},{"title":"Bulletin de s\u00e9curit\u00e9 Ubuntu USN-204 du 14 octobre 2005 :","url":"http://www.ubuntu.com/usn/usn-204-1"},{"title":"Avis de s\u00e9curit\u00e9 OpenSSL du 11 octobre 2005 :","url":"http://www.openssl.org/news/secadv_20051011.txt"}],"reference":"CERTA-2005-AVI-400","revisions":[{"description":"version initiale ;","revision_date":"2005-10-12T00:00:00.000000"},{"description":"ajouts des bulletins Fedora Core 3 et 4, du bulletin SuSE et de 3 avis Debian ;","revision_date":"2005-11-07T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Debian DSA-888 et Ubuntu ;","revision_date":"2005-11-08T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence \u00e0 l'avis de s\u00e9curit\u00e9 Cisco.","revision_date":"2005-12-05T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence \u00e0 l'avis de s\u00e9curit\u00e9 Juniper.","revision_date":"2006-01-04T00:00:00.000000"}],"risks":[{"description":"Risque d'atteinte \u00e0 la confidentialit\u00e9 des \u00e9changes"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Un utilisateur mal intentionn\u00e9, ayant la capacit\u00e9 d'intercepter le flux\nTCP, peut conduire une attaque par le milieu visant \u00e0 faire r\u00e9gresser \u00e0\nla version 2 le protocole SSL n\u00e9goci\u00e9 entre les parties.\n","title":"Faiblesse dans OpenSSL 0.9.x","vendor_advisories":[{"published_at":null,"title":"Avis OpenSSL du 11 octobre 2005","url":null}]}