News

Other articles

Monday 8 March 2010

Audio Podcast Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010

Article Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010

Article Cloud security threats identified by CSA

Tuesday 2 March 2010

In Brief Vote for your CSO Interchange topics

Thursday 25 February 2010

Article Cloud Computing : a simple question of supplier risk

Monday 22 February 2010

Article Most dangerous coding errors outed

Monday 22 February 2010

In Brief Microsoft IE users to get browser choice update

Friday 19 February 2010

Article Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010

In Brief Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010

Audio Podcast The Challenges of Cross Border eID

Monday 15 February 2010

Audio Podcast The Readiness of eID in Europe Part 2

Sunday 14 February 2010

Audio Podcast The Readiness of eID in Europe Part 1

Thursday 11 February 2010

Article Concern at DDoS sophistication rise

Monday 8 February 2010

Article Voice encryption standard takes a beating

Friday 5 February 2010

Article Military importance of cyber recognised

Un déni de service pour OpenSSL frappe les produits Cisco

Written by Aurélien Cabezon (SecurityVibes)
Published on Sunday 21 March 2004
0 comment(s) | Subnetwork France

| | Other Tools

Un déni de service a été découvert au coeur de l'outil libre OpenSSL. Il suffirait pour l'exploiter de soumettre une requête malformée à la librairie de chiffrement. OpenSSL est très utilisé, y compris au sein de produits commerciaux. Cette faille frappe ainsi plusieurs produits Cisco, dont des switches, des routeurs et des pare-feu.

La vulnérabilité découverte dans OpenSSL permet de faire crasher à l'aide d'une requête malformée les produits qui exploitent l'outil libre. L'attaque a lieu au moment de l'initialisation d'une connexion sécurisée SSL/TLS (la fameuse "poignée de main" chère au protocole TCP). OpenSSL étant très utilisé, notamment aux côtés du serveur web Libre Apache, cette faille concerne potentiellement de très nombreux systèmes. Et parmi ces derniers, nombreux sont ceux embarqués au sein de boîtiers matériels : le couple Apache / OpenSSL offre en effet une solution d'administration web sécurisée idéale pour les constructeurs de matériel, et, surtout, gratuite.

Cisco est le premier fabriquant à avoir raconnu être touché par cette faille, et à publier les correctifs nécessaires. La société utilise OpenSSL dans de nombreux produits, dont certains pare-feu PIX, des routeurs de la gamme 7000 et Catalyst, ainsi que des switches de la gamme MDS et plusieurs autres applications. Une liste complète est disponible sur le site de l'éditeur.
En ce qui concerne OpenSSL lui-même, deux nouvelles versions sont disponibles, qui corrigent la vulnérabilité (0.9.7d et 0.9.6m).

L'alerte chez OpenSSL (en Anglais).
http://www.openssl.org/news/secadv_20040317.txt

Article offert par "Les Nouvelles.net" la première agence d'information dédiée à la sécurité informatique.

Our members have posted 0 comments about this article. Only members can view and submit new comments.

Un déni de service pour OpenSSL frappe les produits Cisco.

Nouvelle vulnérabilité critique dans la librairie « zlib...

Tempête sur Debian : les clés SSH compromises

Découverte d'une faille au coeur même du protocole TCP.

Exploit DCOM, la course aux «targets»

Oracle toujours incassable ?

Externalisation, intégration : Qualité de service en baisse ??? (3 Answers)

Que pensez-vous de l'affaire ZATAZ ? (5 Answers)

Gouvernance autour de LinkedIn (3 Answers)

Que pensez-vous de cette nouvelle fonctionnalité ? (11 Answers)

Que pensez de de la dépérimétrisation ? "bring the firewall down" une approche du groupe Jericho (11 Answers)

Browse Questions