Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • OpenSSL versions antérieures à la 0.9.8o ;
  • OpenSSL versions antérieures à la 1.0.0a.

Résumé

Deux vulnérabilités ont été découvertes dans OpenSSL et permettent à une personne malintentionnée de contourner la politique de sécurité ou d'exécuter du code arbitraire à distance.

Description

Deux vulnérabilités ont été découvertes dans OpenSSL :

  • une erreur dans la gestion des données OriginatorInfo de la structure CMS permet à une personne malintentionnée d'exécuter du code arbitraire à distance (CVE-2010-0742) ;
  • une erreur dans la fonction EVP_PKEY_verify_recover() permet à une personne malintentionnée de contourner le système de vérification des clés (CVE-2010-1633).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation