Memory leak in d1_srtp.c in the DTLS SRTP extension in OpenSSL 1.0.1 before 1.0.1j allows remote attackers to cause a denial-of-service (memory consumption) via a crafted handshake message.
Pour plus d’informations, reportez-vous aux sections suivantes :
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3513.
Pour obtenir la réponse McAfee, consultez :
SB10091 -Bulletin de sécurité-trois vulnérabilités SSLv3.
CVE-2014-3566
Protocole SSL 3.0, telle qu’elle est utilisée dans OpenSSL via 1.0.1i et d’autres produits, utilise le remplissage CBC non déterministe. Grâce à ce remplissage, il est plus facile pour les attaquants de l’intercepteur (Man-in-the-Middle) d’obtenir des données en texte clair via une attaque de remplissage-Oracle, par exemple le problème POODLE.
Pour plus d’informations, reportez-vous aux sections suivantes :
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566.
Pour obtenir la réponse McAfee, voir
SB10090 -Bulletin de sécurité-vulnérabilité liée à POODLE.
CVE-2014-3567
Fuite de mémoire dans la fonction tls_decrypt_ticket dans t1_lib. c dans OpenSSL avant 0.9.8ZC 1.0.0 avant 1.0.0o et 1.0.1 avant 1.0.1j autorise les attaquants à distance à provoquer un déni de service (consommation de mémoire). Le déni de service est provoqué par un ticket de session spécialement conçu qui déclenche un échec de la vérification de l’intégrité.
Pour plus d’informations, reportez-vous aux sections suivantes :
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3567.
Pour obtenir la réponse McAfee, consultez :
SB10091 -Bulletin de sécurité-trois vulnérabilités SSLv3.
CVE-2014-3568
OpenSSL avant 0.9.8ZC 1.0.0 avant 1.0.0o et 1.0.1 avant 1.0.1j ne met pas correctement en œuvre l’option de build no-ssl3. Ce fait permet aux attaquants à distance de contourner les restrictions d’accès prévues via un protocole SSL. 3.0 Protocole de transfert relatif à s23_clnt. c et s23_srvr. c.
Pour plus d’informations, reportez-vous aux sections suivantes :
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3568.
Pour obtenir la réponse McAfee, consultez :
SB10091 -Bulletin de sécurité-trois vulnérabilités SSLv3.