
La première, la vulnérabilité CVE-2014-3571 est une erreur de segmentation DTLS dans dtls1_get_record. Elle se traduit par un message DTLS qui « peut provoquer une erreur de segmentation dans OpenSSL due à une référence de pointeur NULL et pourrait conduire à une attaque DoS. » Les versions 1.0.1, 1.0.0 et 0.9.8 d’OpenSSL sont affectées par ce problème.
La deuxième vulnérabilité de sévérité modérée, CVE-2015-0206, est une fuite de mémoire dans DTLS dtls1_buffer_record et pourrait conduire à une attaque DoS par épuisement de la mémoire. Cette fuite de mémoire « peut se produire dans la fonction dtls1_buffer_record sous certaines conditions », notamment « si un attaquant envoyait des enregistrements DTLS répétés avec le même numéro de séquence, mais pour la période suivante. » Ce défaut affecte les versions 1.0.1 et 1.0.0 d’OpenSSL.
Les six autres vulnérabilités, CVE-2014-3569, CVE-2014-3572, CVE-2015-0204, CVE-2015-0205, CVE-2014-8275 et CVE-2014-3570, qui sont considérées comme à faible gravité, s’adressent à une variété de problèmes, dont certains impliquent des problèmes avec les certificats.
Même si ces vulnérabilités ne sont que gravité modérée ou faible, « les administrateurs système devraient prévoir de mettre à niveau leurs instances de serveur exécutant OpenSSL dans les prochains jours », a déclaré Tod Beardsley, directeur de l'ingénierie au sein du cabinet Rapid7. « Afin de maintenir un service fiable, OpenSSL devrait être mis à niveau ou remplacé par des bibliothèques SSL qui ne sont pas touchées par ces problèmes, comme LibreSSL. » A-t-il ajouté.
Par ailleurs, OpenSSL rappelle que le support pour les versions 1.0.0 et 0.9.8 prendra fin après le 31 décembre 2015, ce qui signifie que des mises à jour de sécurité ne seront plus fournies. La version 1.0.1, quant à elle, sera soutenue jusqu'au 31 décembre 2016.
Sources : SCMagazine, OpenSSL.org