Anomalie #26369
ouvert20.03 - Vulnérabilités dans open ssl CERTFR-2023-AVI-0571 CERTFR-2023-AVI-0605
Description
Demande d'analyse des deux vulnérabilités CERTFR-2023-AVI-0571 et CERTFR-2023-AVI-0605 dans open ssl.
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0571/
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0605/
Mis à jour par Emmanuel DILLARD il y a plus d'un an
- Version cible changé de 2301 à 20.03 TMA2
- Version source mis à 2301
Mis à jour par Emmanuel DILLARD il y a plus d'un an
- Priorité changé de 3-Mineur à 2-Sérieux
Mis à jour par Emmanuel DILLARD il y a plus d'un an
- Statut changé de A qualifier à R&D - A étudier
Mis à jour par Emmanuel DILLARD il y a plus d'un an
- Echéance
04/09/2023supprimé - Statut changé de R&D - A étudier à R&D - A planifier
- Version source changé de 2301 à 20.03 TMA
Mis à jour par Emmanuel DILLARD il y a environ un an
- Priorité changé de 2-Sérieux à 1-Majeur
Mis à jour par Emmanuel DILLARD il y a environ un an
- Lié à Anomalie #26410: 20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542 (Ghostscript) ajouté
Mis à jour par Emmanuel DILLARD il y a environ un an
- Priorité changé de 1-Majeur à 0-Bloquant
Mis à jour par Emmanuel DILLARD il y a environ un an
- Echéance changé de 05/12/2023 à 24/10/2023
- Statut changé de R&D - A planifier à R&D - En cours
Mis à jour par Emmanuel DILLARD il y a environ un an
- Assigné à
Emmanuel DILLARDsupprimé
Mis à jour par Jean-Laurent DUZANT il y a environ un an
- Assigné à mis à Jean-Laurent DUZANT
Mis à jour par Jean-Laurent DUZANT il y a environ un an
Suite à la demande de correction des vulnérabilités CERTFR-2023-AVI-0571 et CERTFR-2023-AVI-0605, nous avons effectué une analyse.
A. Périmètre
Maarch Courrier 20.03 utilise OpenSSL pour le chiffrement et le déchiffrement des mots de passe sur les modules suivants :
serveur de messagerie,
Maarch 2 Maarch,
Alfresco,
Maileva.
B. Impacts
Cette vulnérabilité expose à un risque de déni de service à distance.
Une attaque par déni de service, abrégée sous l'acronyme DoS (pour "denial of service"), consiste en une cyberattaque visant à perturber le fonctionnement normal d'un service, d'un réseau ou d'un serveur en cherchant à le submerger sous un volume excessif de trafic Internet.
C. Résolution
Nous recommandons de mettre à jour OpenSSL à la version 1.1.1v afin de remédier à cette vulnérabilité.
Mis à jour par Jean-Laurent DUZANT il y a environ un an
- Statut changé de R&D - En cours à R&D - En test
Mis à jour par Emmanuel DILLARD il y a environ un an
- Statut changé de R&D - En test à R&D - Terminé
Mis à jour par Emmanuel DILLARD il y a environ un an
- Statut changé de R&D - Terminé à R&D - A Revoir
- Assigné à
Jean-Laurent DUZANTsupprimé - Priorité changé de 0-Bloquant à 2-Sérieux
Mis à jour par Emmanuel DILLARD il y a environ un an
- Echéance changé de 24/10/2023 à 30/10/2023
- Statut changé de R&D - A Revoir à R&D - A étudier
Mis à jour par Emmanuel DILLARD il y a environ un an
- Echéance changé de 30/10/2023 à 04/12/2023
Mis à jour par Emmanuel DILLARD il y a environ un an
- Statut changé de R&D - A étudier à Résolu
- Assigné à mis à Henri QUENEAU