Plusieurs vulnérabilités ont été identifiées dans OpenSSL, elles pourraient être exploitées par des attaquants afin de causer un déni de service ou potentiellement compromettre un système vulnérable.
Le premier problème résulte d'une boucle infinie présente au niveau du traitement de certaines structures ASN.1 malformées, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable.
La seconde faille est due à une erreur présente au niveau du traitement de certaines clés publiques, ce qui pourrait être exploité par des attaquants afin de causer un déni de service.
La troisième vulnérabilité est due à une erreur de type buffer overflow présente au niveau de la fonction "SSL_get_shared_ciphers()", ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un système vulnérable ou potentiellement exécuter des commandes arbitraires.
La quatrième faille résulte d'une erreur présente au niveau du client SSLv2 qui ne gère pas correctement l'établissement d'une connexion SSLv2 avec certains serveurs, ce qui pourrait être exploité par des attaquants afin de causer un déni de service.
Crédit
Vulnérabilités découvertes par Dr. S. N. Henson (Open Network Security), Tavis Ormandy et Will Drewry (Google Security Team).
Historique
2006-09-28 : Version Initiale
Recevez les bulletins FrSIRT
Le service FrSIRT VNS permet aux professionnels de la sécurité (RSSI, DSI, administrateurs et consultants) de recevoir en temps-réel, par email, SMS et flux RSS/XML, des bulletins de vulnérabilités complets, détaillés et personnalisés.
