Numéro : AV16-149
Date : Le 22 septembre 2016
Objet
Le présent avis a pour but d'attirer l'attention sur plusieurs mises à jour de sécurité publiées par OpenSSL.
Évaluation
Le CCRIC est au courant de l'existence de quatorze (1 importante, 1 modérée et 12 basses) vulnérabilités divulguées récemment qui touchent OpenSSL dont il existe des mises à jour.
Versions touchées : OpenSSL 1.1.0, 1.0.1 et 1.0.2
Références CVE : CVE-2016-6304, CVE-2016-6305, CVE-2016-2183, CVE-2016-6303, CVE-2016-6302, CVE-2016-2182, CVE-2016-2180, CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2181, CVE-2016-6306, CVE-2016-6307, CVE-2016-6308
Mesure suggérée
Le CCRIC recommande que les administrateurs de système testent les mises à jour publiées par le fournisseur et qu'ils les appliquent aux applications touchées.
Les utilisateurs d'OpenSSL 1.1.0 doivent installer 1.1.0a
Les utilisateurs d'OpenSSL 1.0.1 doivent installer 1.0.1t
Les utilisateurs d'OpenSSL 1.0.2 doivent installer 1.0.2h
Références
Avis OpenSSL: https://www.openssl.org/news/secadv/20160922.txt (en Anglais)