CERTA-2002-AVI-162

Vulnerability from certfr_avis - Published: - Updated:

Plusieurs vulnérabilités de type débordement de mémoire permettent à un utilisateur mal intentionné de provoquer l'exécution de code arbitraire ou un déni de service.

Description

OpenSSL est une librairie de fonctions créée pour implémenter les protocoles SSL (Secure Sockets Layer), TLS (Transport Layer Security) ainsi que de nombreux utilitaires de cryptographie. Plusieurs vulnérabilités ont été découvertes permettant à un utilisateur mal intentionné d'exécuter du code arbitraire ou de provoquer un déni de service.

Contournement provisoire

Désactiver le support de SSL 2.0, désactiver les applications utilisant SSL ou TLS en attendant que le correctif soit appliqué. Les utilisateurs des versions de développement pr�-0.9.7 utilisant Kerberos doivent aussi désactiver Kerberos.

Solution

Téléchargez le ou les correctifs correspondants à la version d'OpenSSL installée sur votre système (cf. section documentation)

Tout système possédant les versions 0.9.6d et antérieures, les versions 0.9.7-beta2 et antérieures (y compris les versions en développement collectées sur le CVS) de OpenSSL est vulnérable. Un système 32 bits possédant la version 0.9.6d sur laquelle SSL 2.0 est désactivé n'est pas vulnérable.

De nombreux produits incluent OpenSSL en standard et sont donc tout autant vulnérables (Consultez la section Documentation).

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eTout syst\u00e8me poss\u00e9dant les versions  \u003cCODE\u003e0.9.6d\u003c/CODE\u003e et ant\u00e9rieures, les versions  \u003cCODE\u003e0.9.7-beta2\u003c/CODE\u003e et ant\u00e9rieures (y compris les versions  en d\u00e9veloppement collect\u00e9es sur le CVS) de \u003cCODE\u003eOpenSSL\u003c/CODE\u003e  est vuln\u00e9rable. Un syst\u00e8me 32 bits poss\u00e9dant la version  \u003cCODE\u003e0.9.6d\u003c/CODE\u003e sur laquelle \u003cCODE\u003eSSL 2.0\u003c/CODE\u003e est  d\u00e9sactiv\u00e9 n\u0027est pas vuln\u00e9rable.\u003cBR\u003e  \u003cP\u003eDe nombreux produits incluent \u003cCODE\u003eOpenSSL\u003c/CODE\u003e en standard  et sont donc tout autant vuln\u00e9rables (Consultez la section  Documentation).\u003c/P\u003e\u003c/p\u003e",
  "content": "## Description\n\nOpenSSL est une librairie de fonctions cr\u00e9\u00e9e pour impl\u00e9menter les\nprotocoles SSL (Secure Sockets Layer), TLS (Transport Layer Security)\nainsi que de nombreux utilitaires de cryptographie. Plusieurs\nvuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes permettant \u00e0 un utilisateur mal\nintentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire ou de provoquer un d\u00e9ni de\nservice.\n\n## Contournement provisoire\n\nD\u00e9sactiver le support de `SSL 2.0`, d\u00e9sactiver les applications\nutilisant `SSL` ou `TLS` en attendant que le correctif soit appliqu\u00e9.\nLes utilisateurs des versions de d\u00e9veloppement `pr\ufffd-0.9.7` utilisant\n`Kerberos` doivent aussi d\u00e9sactiver `Kerberos`.\n\n## Solution\n\nT\u00e9l\u00e9chargez le ou les correctifs correspondants \u00e0 la version d\u0027OpenSSL\ninstall\u00e9e sur votre syst\u00e8me (cf. section documentation)\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 #46424 de SUN :",
      "url": "http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F46424"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 #RHSA-2002:160-21 de RedHat :",
      "url": "http://rhn.redhat.com/errata/RHSA-2002-160.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 #37 d\u0027Oracle :",
      "url": "http://technet.oracle.com/deploy/security/pdf/openssl/Alert.pdf"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 2002-08-02 de apple :",
      "url": "http://www.info.apple.com/usen/security/security_updates.html"
    },
    {
      "title": "Avis #CA-2002-23 du CERT CC",
      "url": "http://www.cert.org/advisories/CA-2002-23.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 #SuSE-SA:2002:027 de SuSE :",
      "url": "http://www.suse.com/de/security/2002_027_openssl.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 #46605 de SUN :",
      "url": "http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F46605"
    },
    {
      "title": "Le site du module SSL du serveur WEB Apache :",
      "url": "http://www.apache-ssl.org/"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 #NETBSD-SA2002-009 de NetBSD :",
      "url": "ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-009.txt.asc"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 #MDKSA-2002:046 de Mandrake :",
      "url": "http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-046.php"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 #DSA-136-2 Debian :",
      "url": "http://www.debian.org/security/2002/dsa-136"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de #SSRT2310a de Hewlett    Packard/Compaq",
      "url": "http://thenew.hp.com/country/fr/fre/support.html"
    },
    {
      "title": "Le site d\u0027OpenSSL :",
      "url": "http://www.openssl.org/"
    }
  ],
  "reference": "CERTA-2002-AVI-162",
  "revisions": [
    {
      "description": "version initiale ;",
      "revision_date": "2002-07-31T00:00:00.000000"
    },
    {
      "description": "ajout des bulletins de Mandrake, NetBSD et apple ;",
      "revision_date": "2002-08-05T00:00:00.000000"
    },
    {
      "description": "ajout du bulletin #46424 de SUN ;",
      "revision_date": "2002-08-20T00:00:00.000000"
    },
    {
      "description": "ajout de l\u0027avis Oracle et modification de l\u0027avis RedHat ;",
      "revision_date": "2002-08-21T00:00:00.000000"
    },
    {
      "description": "ajout de l\u0027avis HP/Compaq ;",
      "revision_date": "2002-09-04T00:00:00.000000"
    },
    {
      "description": "M.A.J. de l\u0027avis Debian, ajout de l\u0027avis du CERT CC ;",
      "revision_date": "2002-09-17T00:00:00.000000"
    },
    {
      "description": "ajout de l\u0027avis #46605 de SUN.",
      "revision_date": "2002-09-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Plusieurs vuln\u00e9rabilit\u00e9s de type d\u00e9bordement de m\u00e9moire permettent \u00e0 un\nutilisateur mal intentionn\u00e9 de provoquer l\u0027ex\u00e9cution de code arbitraire\nou un d\u00e9ni de service.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans OpenSSL",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis CA-2002-23 du CERT/CC",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.