Informations de sécurité / 2021 / Informations sur la sécurité -- DSA-4963-1 openssl

Bulletin d'alerte Debian

DSA-4963-1 openssl -- Mise à jour de sécurité

Date du rapport :

24 août 2021

Paquets concernés :

openssl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2021-3711, CVE-2021-3712.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une boîte à outils SSL (Secure Socket Layer).

• CVE-2021-3711

  John Ouyang a signalé une vulnérabilité de dépassement de tampon dans le déchiffrement de SM2. Un attaquant en capacité de présenter du contenu SM2 pour déchiffrement à une application peut tirer avantage de ce défaut pour modifier le comportement de l'application ou provoquer son plantage (déni de service).

• CVE-2021-3712

  Ingo Schwarze a signalé un défaut de débordement de tampon, lors du traitement de chaînes ASN.1 dans la fonction X509_aux_print(), qui peut avoir pour conséquence un déni de service.

Pour plus de détails, consultez les avertissements amont : https://www.openssl.org/news/secadv/20210824.txt

Pour la distribution oldstable (Buster), ces problèmes ont été corrigés dans la version 1.1.1d-0+deb10u7.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 1.1.1k-1+deb11u1.

Nous vous recommandons de mettre à jour vos paquets openssl.

Pour disposer d'un état détaillé sur la sécurité de openssl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/openssl.