Risque
Déni de service à distance.
Systèmes affectés
- OpenSSL 0.9.x.
Résumé
Deux vulnérabilités découvertes dans OpenSSL permettent à un utilisateur distant malintentionné de provoquer un déni de service.
Description
Deux vulnérabiliés causées par un manque de contrôle dans le traitement des enregistrements et messages de type DTLS (Datagram Transport Layer Security), peuvent être exploitées pour réaliser un déni de service par consommation de mémoire excessive.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de l'éditeur OpenSSL :
http://www.openssl.org/
- Bulletins de sécurité OpenSSL #1838, #1923, #1930 et #1931 :
http://rt.openssl.org/Ticket/Display.html?id=1838
http://rt.openssl.org/Ticket/Display.html?id=1923
http://rt.openssl.org/Ticket/Display.html?id=1930
http://rt.openssl.org/Ticket/Display.html?id=1931
- Référence CVE CVE-2009-1377 :
https://www.cve.org/CVERecord?id=CVE-2009-1377
- Référence CVE CVE-2009-1378 :
https://www.cve.org/CVERecord?id=CVE-2009-1378
- Référence CVE CVE-2009-1379 :
https://www.cve.org/CVERecord?id=CVE-2009-1379
- Référence CVE CVE-2009-1386 :
https://www.cve.org/CVERecord?id=CVE-2009-1386
- Référence CVE CVE-2009-1387 :
https://www.cve.org/CVERecord?id=CVE-2009-1387
- Bulletin de sécurité IBM du 29 juin 2009 :
http://aix.software.ibm.com/aix/efixes/security/ssl_advisory.asc
- Bulletin de sécurité Ubuntu USN-792-1 du 25 juin 2009 :
https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000923.html