Les mainteneurs d’OpenSSL ont correctifs exp\u00e9di\u00e9s<\/a> pour r\u00e9soudre une faille de s\u00e9curit\u00e9 tr\u00e8s grave dans sa biblioth\u00e8que de logiciels qui pourrait conduire \u00e0 une condition de d\u00e9ni de service (DoS) lors de l’analyse des certificats.<\/p>\n Suivi comme CVE-2022-0778<\/a> (score CVSS\u00a0: 7,5), le probl\u00e8me provient de l’analyse d’un certificat mal form\u00e9 avec un certificat explicite non valide. courbe elliptique<\/a> param\u00e8tres, r\u00e9sultant en ce qu’on appelle une “boucle infinie”. La faille r\u00e9side dans une fonction appel\u00e9e BN_mod_sqrt() qui est utilis\u00e9e pour calculer la racine carr\u00e9e modulaire.<\/p>\n “\u00c9tant donn\u00e9 que l’analyse du certificat a lieu avant la v\u00e9rification de la signature du certificat, tout processus qui analyse un certificat fourni en externe peut donc faire l’objet d’une attaque par d\u00e9ni de service”, a d\u00e9clar\u00e9 OpenSSL dans un avis publi\u00e9 le 15 mars 2022.<\/p>\n “La boucle infinie peut \u00e9galement \u00eatre atteinte lors de l’analyse de cl\u00e9s priv\u00e9es con\u00e7ues car elles peuvent contenir des param\u00e8tres de courbe elliptique explicites.”<\/p>\n Bien qu’il n’y ait aucune preuve que la vuln\u00e9rabilit\u00e9 ait \u00e9t\u00e9 exploit\u00e9e dans la nature, il existe quelques sc\u00e9narios o\u00f9 elle pourrait \u00eatre militaris\u00e9e, notamment lorsque des clients (ou serveurs) TLS acc\u00e8dent \u00e0 un certificat malveillant \u00e0 partir d’un serveur (ou client) malveillant, ou lorsque le certificat les autorit\u00e9s analysent les demandes de certification des abonn\u00e9s.<\/p>\n La vuln\u00e9rabilit\u00e9 affecte les versions OpenSSL 1.0.2, 1.1.1 et 3.0, les propri\u00e9taires du projet ont corrig\u00e9 la faille avec la publication des versions 1.0.2zd (pour les clients de support premium), 1.1.1n et 3.0.2. OpenSSL 1.1.0, bien qu’\u00e9galement affect\u00e9, ne recevra pas de correctif car il a atteint sa fin de vie.<\/p>\n Le chercheur en s\u00e9curit\u00e9 de Google Project Zero, Tavis Ormandy, est cr\u00e9dit\u00e9 d’avoir signal\u00e9 la faille le 24 f\u00e9vrier 2022. Le correctif a \u00e9t\u00e9 d\u00e9velopp\u00e9 par David Benjamin de Google et Tom\u00e1\u0161 Mr\u00e1z d’OpenSSL.<\/p>\n CVE-2022-0778 est \u00e9galement la deuxi\u00e8me vuln\u00e9rabilit\u00e9 OpenSSL r\u00e9solue depuis le d\u00e9but de l’ann\u00e9e. Le 28 janvier 2022, les responsables ont corrig\u00e9 une faille de gravit\u00e9 mod\u00e9r\u00e9e (CVE-2021-4160<\/a>score CVSS : 5,9) affectant la proc\u00e9dure de mise au carr\u00e9 MIPS32 et MIPS64 de la biblioth\u00e8que.<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Des-experts-chinois-decouvrent-les-details-de-loutil-de-piratage.png\")
<\/a><\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646326908_645_Correctifs-critiques-publies-pour-la-gamme-Cisco-Expressway-les-produits.jpeg\")
<\/a><\/div>\n