USN-792-1 : Vulnérabilités dans OpenSSL
Un problème de sécurité affecte les versions suivantes de Ubuntu :
Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.
Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :
| Ubuntu 6.06 LTS : | |||
| libssl0.9.8 | 0.9.8a-7ubuntu0.9 | ||
| Ubuntu 8.04 LTS : | |||
| libssl0.9.8 | 0.9.8g-4ubuntu3.7 | ||
| Ubuntu 8.10 : | |||
| libssl0.9.8 | 0.9.8g-10.1ubuntu2.4 | ||
| Ubuntu 9.04 : | |||
| libssl0.9.8 | 0.9.8g-15ubuntu3.2 | ||
Après une mise à niveau standard du système vous devrez redémarrer votre ordinateur pour apporter les modifications nécessaires.
Détails :
Il a été découvert que OpenSSL ne limitait pas le nombre d’enregistrements DTLS qu’il mettait en mémoire tampon lorsqu’ils arrivaient avec une date dans le futur. Un attaquant distant pourrait causer un déni de service en consommant des ressources via l’envoi d’un grand nombre de requêtes spécialement conçues. (CVE-2009-1377)
Il a été découvert que OpenSSL ne libérait pas correctement la mémoire lors du traitement de fragments DTLS. Un attaquant distant pourrait causer un déni de service en consommant des ressources via l’envoi d’un grand nombre de requêtes spécialement conçues. (CVE-2009-1378)
Il a été découvert que OpenSSL ne gérait pas correctement certains certificats de serveur lors du traitement de paquets DTLS. Un serveur DTLS distant pourrait causer un déni de service en envoyant un certificat de serveur spécialement conçu. (CVE-2009-1379)
Il a été découvert que OpenSSL ne gérait pas correctement un paquet DTLS ChangeCipherSpec lorsqu’il se présentait avant ClientHello. Un attaquant distant pourrait causer un déni de service en envoyant une requête spécialement conçue. (CVE-2009-1386)
Il a été découvert que OpenSSL ne gérait pas correctement les messages de séquence de négociation DTLS. Un attaquant distant pourrait causer un déni de service en envoyant une requête spécialement conçue. (CVE-2009-1387)
Source : USN-792-1: OpenSSL vulnerabilities
