Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance.

Systèmes affectés

Toutes les versions de OpenSSL implémentant les extensions TLS. Ceci inclut :

  • OpenSSL versions 0.9.8f à 0.9.8o ;
  • OpenSSL versions 1.0.0 et 1.0.0a.

Résumé

Une vulnérabilité présente dans OpenSSL permet à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire.

Description

Une vulnérabilité est présente dans OpenSSL. Elle est relative à la gestion de la mise en cache interne. Ainsi seules sont vulnérables les applications mettant en œuvre du multi-threading et s'appuyant sur la mise en cache interne de OpenSSL. L'exploitation de cette faille permet à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation