La dernière version de la bibliothèque OpenSSL a été découverte comme sensible à une vulnérabilité de corruption de mémoire à distance sur certains systèmes.
Le problème a été identifié dans OpenSSL version 3.0.4qui a été publié le 21 juin 2022 et a un impact sur les systèmes x64 avec le AVX-512 jeu d’instructions. OpenSSL 1.1.1 ainsi que les forks OpenSSL BoringSSL et LibreSSL ne sont pas affectés.
Le chercheur en sécurité Guido Vranken, qui a signalé le bogue fin mai, a dit il « peut être déclenché de manière triviale par un attaquant ». Bien que la lacune ait été fixéaucun correctif n’a encore été mis à disposition.
OpenSSL est une bibliothèque de cryptographie populaire qui offre une implémentation open source du Transport Layer Security (TLS) protocole. Extensions vectorielles avancées (AVX) sont des extensions de l’architecture du jeu d’instructions x86 pour les microprocesseurs d’Intel et d’AMD.
« Je ne pense pas qu’il s’agisse d’une faille de sécurité », a déclaré Tomáš Mráz de la Fondation OpenSSL dans un fil de discussion GitHub. « C’est juste un bogue sérieux qui rend la version 3.0.4 inutilisable sur les machines compatibles AVX-512. »
D’un autre côté, Alex Gaynor a souligné : « Je ne suis pas sûr de comprendre en quoi il ne s’agit pas d’une vulnérabilité de sécurité. C’est un dépassement de mémoire tampon qui peut être déclenché par des éléments tels que les signatures RSA, ce qui peut facilement se produire dans des contextes distants (par exemple, une poignée de main TLS ). »
Xi Ruoyao, un étudiant de troisième cycle à l’Université de Xidian, est intervenu en déclarant que même si « je pense que nous ne devrions pas marquer un bogue comme une » vulnérabilité de sécurité « à moins que nous ayons des preuves montrant qu’il peut (ou du moins, peut) être exploité », il est nécessaire de publier la version 3.0.5 dès que possible compte tenu de la gravité du problème.