Le projet OpenSSL a déployé des correctifs pour contenir deux failles de haute gravité dans sa bibliothèque de cryptographie largement utilisée qui pourraient entraîner un déni de service (DoS) et l’exécution de code à distance.
Les problèmes, suivis comme CVE-2022-3602 et CVE-2022-3786ont été décrites comme des vulnérabilités de dépassement de mémoire tampon qui peuvent être déclenchées lors de la vérification du certificat X.509 en fournissant une adresse e-mail spécialement conçue.
“Dans un client TLS, cela peut être déclenché en se connectant à un serveur malveillant”, a déclaré OpenSSL dans un avis pour CVE-2022-3786. “Dans un serveur TLS, cela peut être déclenché si le serveur demande l’authentification du client et qu’un client malveillant se connecte.”
OpenSSL est une implémentation open source des protocoles SSL et TLS utilisés pour la communication sécurisée et est intégrée à plusieurs systèmes d’exploitation et à une large gamme de logiciels.
Les versions 3.0.0 à 3.0.6 de la bibliothèque sont affectées par les nouvelles failles, qui ont été corrigées dans la version 3.0.7. Il convient de noter que les versions OpenSSL 1.x couramment déployées ne sont pas vulnérables.
Par données partagées par Censysenviron 7 062 hôtes exécuteraient une version sensible d’OpenSSL au 30 octobre 2022, la majorité d’entre eux étant situés aux États-Unis, en Allemagne, au Japon, en Chine, en Tchéquie, au Royaume-Uni, en France, en Russie, au Canada et aux Pays-Bas. .
Alors que CVE-2022-3602 était initialement traité en tant que vulnérabilité critique, sa gravité a depuis été déclassé à Élevé, citant les protections contre le débordement de pile dans les plates-formes modernes. Les chercheurs en sécurité Polar Bear et Viktor Dukhovni ont été crédités d’avoir signalé CVE-2022-3602 et CVE-2022-3786 les 17 et 18 octobre 2022.
Le projet OpenSSL a en outre noté que les bogues ont été introduits dans OpenSSL 3.0.0 dans le cadre de punycode fonctionnalité de décodage actuellement utilisée pour traiter les contraintes de nom d’adresse e-mail dans les certificats X.509.
Malgré le changement de gravité, OpenSSL a déclaré qu’il considérait “ces problèmes comme de graves vulnérabilités et les utilisateurs concernés sont encouragés à effectuer la mise à niveau dès que possible”.
La version 3.0, la version actuelle d’OpenSSL, est groupé avec Système d’exploitation Linux des saveurs telles que Ubuntu 22.04 LTS, CentOS, macOS Ventura et Fedora 36, entre autres. Les images de conteneur créées à l’aide des versions concernées de Linux sont également impactées.
Selon un consultatif publié par Docker, environ 1 000 référentiels d’images pourraient être affectés sur diverses images Docker Official Images et Docker Verified Publisher images.
La dernière faille critique corrigée par OpenSSL remonte à septembre 2016, lors de sa fermeture CVE-2016-6309un bogue d’utilisation après libération pouvant entraîner un plantage ou l’exécution de code arbitraire.
La boîte à outils logicielle OpenSSL a été plus particulièrement affectée par Heartbleed (CVE-2014-0160), un grave problème de gestion de la mémoire dans la mise en œuvre de l’extension de pulsation TLS/DTLS, permettant aux attaquants de lire des parties de la mémoire d’un serveur cible.
“Une vulnérabilité critique dans une bibliothèque de logiciels comme OpenSSL, qui est si largement utilisée et si fondamentale pour la sécurité des données sur Internet, est une vulnérabilité qu’aucune organisation ne peut se permettre d’ignorer”, SentinelOne a dit.