{"id":442213,"date":"2022-11-01T17:38:24","date_gmt":"2022-11-01T19:38:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/openssl-publie-un-correctif-pour-2-nouvelles-vulnerabilites-de-haute-gravite\/"},"modified":"2022-11-01T17:38:26","modified_gmt":"2022-11-01T19:38:26","slug":"openssl-publie-un-correctif-pour-2-nouvelles-vulnerabilites-de-haute-gravite","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/openssl-publie-un-correctif-pour-2-nouvelles-vulnerabilites-de-haute-gravite\/","title":{"rendered":"OpenSSL publie un correctif pour 2 nouvelles vuln\u00e9rabilit\u00e9s de haute gravit\u00e9"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Le projet OpenSSL a d\u00e9ploy\u00e9 des correctifs pour contenir deux failles de haute gravit\u00e9 dans sa biblioth\u00e8que de cryptographie largement utilis\u00e9e qui pourraient entra\u00eener un d\u00e9ni de service (DoS) et l&#8217;ex\u00e9cution de code \u00e0 distance.<\/p>\n<p>Les probl\u00e8mes, suivis comme <a rel=\"nofollow noopener\" href=\"https:\/\/www.openssl.org\/news\/vulnerabilities.html\" target=\"_blank\">CVE-2022-3602 et CVE-2022-3786<\/a>ont \u00e9t\u00e9 d\u00e9crites comme des vuln\u00e9rabilit\u00e9s de d\u00e9passement de m\u00e9moire tampon qui peuvent \u00eatre d\u00e9clench\u00e9es lors de la v\u00e9rification du certificat X.509 en fournissant une adresse e-mail sp\u00e9cialement con\u00e7ue.<\/p>\n<p>&#8220;Dans un client TLS, cela peut \u00eatre d\u00e9clench\u00e9 en se connectant \u00e0 un serveur malveillant&#8221;, a d\u00e9clar\u00e9 OpenSSL dans un avis pour CVE-2022-3786.  &#8220;Dans un serveur TLS, cela peut \u00eatre d\u00e9clench\u00e9 si le serveur demande l&#8217;authentification du client et qu&#8217;un client malveillant se connecte.&#8221;<\/p>\n<p>OpenSSL est une impl\u00e9mentation open source des protocoles SSL et TLS utilis\u00e9s pour la communication s\u00e9curis\u00e9e et est int\u00e9gr\u00e9e \u00e0 plusieurs syst\u00e8mes d&#8217;exploitation et \u00e0 une large gamme de logiciels.<\/p>\n<p>Les versions 3.0.0 \u00e0 3.0.6 de la biblioth\u00e8que sont affect\u00e9es par les nouvelles failles, qui ont \u00e9t\u00e9 corrig\u00e9es dans la version 3.0.7.  Il convient de noter que les versions OpenSSL 1.x couramment d\u00e9ploy\u00e9es ne sont pas vuln\u00e9rables.<\/p>\n<p>Par donn\u00e9es partag\u00e9es par <a rel=\"nofollow noopener\" href=\"https:\/\/censys.io\/critical-vulnerability-in-openssl\/\" target=\"_blank\">Censys<\/a>environ 7 062 h\u00f4tes ex\u00e9cuteraient une version sensible d&#8217;OpenSSL au 30 octobre 2022, la majorit\u00e9 d&#8217;entre eux \u00e9tant situ\u00e9s aux \u00c9tats-Unis, en Allemagne, au Japon, en Chine, en Tch\u00e9quie, au Royaume-Uni, en France, en Russie, au Canada et aux Pays-Bas. .<\/p>\n<p>Alors que CVE-2022-3602 \u00e9tait <a rel=\"nofollow noopener\" href=\"https:\/\/mta.openssl.org\/pipermail\/openssl-announce\/2022-October\/000238.html\" target=\"_blank\">initialement trait\u00e9<\/a> en tant que vuln\u00e9rabilit\u00e9 critique, sa gravit\u00e9 a depuis \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.openssl.org\/blog\/blog\/2022\/11\/01\/email-address-overflows\/\" target=\"_blank\">d\u00e9class\u00e9<\/a> \u00e0 \u00c9lev\u00e9, citant les protections contre le d\u00e9bordement de pile dans les plates-formes modernes.  Les chercheurs en s\u00e9curit\u00e9 Polar Bear et Viktor Dukhovni ont \u00e9t\u00e9 cr\u00e9dit\u00e9s d&#8217;avoir signal\u00e9 CVE-2022-3602 et CVE-2022-3786 les 17 et 18 octobre 2022.<\/p>\n<p>Le projet OpenSSL a en outre not\u00e9 que les bogues ont \u00e9t\u00e9 introduits dans OpenSSL 3.0.0 dans le cadre de <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Punycode\" target=\"_blank\">punycode<\/a> fonctionnalit\u00e9 de d\u00e9codage actuellement utilis\u00e9e pour traiter les contraintes de nom d&#8217;adresse e-mail dans les certificats X.509.<\/p>\n<p>Malgr\u00e9 le changement de gravit\u00e9, OpenSSL a d\u00e9clar\u00e9 qu&#8217;il consid\u00e9rait &#8220;ces probl\u00e8mes comme de graves vuln\u00e9rabilit\u00e9s et les utilisateurs concern\u00e9s sont encourag\u00e9s \u00e0 effectuer la mise \u00e0 niveau d\u00e8s que possible&#8221;.<\/p>\n<p>La version 3.0, la version actuelle d&#8217;OpenSSL, est <a rel=\"nofollow noopener\" href=\"https:\/\/www.akamai.com\/blog\/security-research\/openssl-vulnerability-how-to-effectively-prepare\" target=\"_blank\">group\u00e9<\/a> avec <a rel=\"nofollow noopener\" href=\"https:\/\/snyk.io\/blog\/new-openssl-critical-vulnerability\/\" target=\"_blank\">Syst\u00e8me d&#8217;exploitation Linux<\/a> des saveurs telles que Ubuntu 22.04 LTS, CentOS, macOS Ventura et Fedora 36, \u200b\u200bentre autres.  Les images de conteneur cr\u00e9\u00e9es \u00e0 l&#8217;aide des versions concern\u00e9es de Linux sont \u00e9galement impact\u00e9es.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Selon un <a rel=\"nofollow noopener\" href=\"https:\/\/www.docker.com\/blog\/security-advisory-critical-openssl-vulnerability\/\" target=\"_blank\">consultatif<\/a> publi\u00e9 par Docker, environ 1 000 r\u00e9f\u00e9rentiels d&#8217;images pourraient \u00eatre affect\u00e9s sur diverses images Docker Official Images et Docker Verified Publisher images.<\/p>\n<p>La derni\u00e8re faille critique corrig\u00e9e par OpenSSL remonte \u00e0 septembre 2016, lors de sa fermeture <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-6309\" target=\"_blank\">CVE-2016-6309<\/a>un bogue d&#8217;utilisation apr\u00e8s lib\u00e9ration pouvant entra\u00eener un plantage ou l&#8217;ex\u00e9cution de code arbitraire.<\/p>\n<p>La bo\u00eete \u00e0 outils logicielle OpenSSL a \u00e9t\u00e9 plus particuli\u00e8rement affect\u00e9e par Heartbleed (CVE-2014-0160), un grave probl\u00e8me de gestion de la m\u00e9moire dans la mise en \u0153uvre de l&#8217;extension de pulsation TLS\/DTLS, permettant aux attaquants de lire des parties de la m\u00e9moire d&#8217;un serveur cible.<\/p>\n<p>&#8220;Une vuln\u00e9rabilit\u00e9 critique dans une biblioth\u00e8que de logiciels comme OpenSSL, qui est si largement utilis\u00e9e et si fondamentale pour la s\u00e9curit\u00e9 des donn\u00e9es sur Internet, est une vuln\u00e9rabilit\u00e9 qu&#8217;aucune organisation ne peut se permettre d&#8217;ignorer&#8221;, SentinelOne <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/blog\/openssl-3-critical-vulnerabililty-what-do-organizations-need-to-do-now\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/just-in-openssl-releases-patch-for-2.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le projet OpenSSL a d\u00e9ploy\u00e9 des correctifs pour contenir deux failles de haute gravit\u00e9 dans sa biblioth\u00e8que de cryptographie largement utilis\u00e9e qui pourraient entra\u00eener un d\u00e9ni de service (DoS) et l&#8217;ex\u00e9cution de code \u00e0 distance. Les probl\u00e8mes, suivis comme CVE-2022-3602 et CVE-2022-3786ont \u00e9t\u00e9 d\u00e9crites comme des vuln\u00e9rabilit\u00e9s de d\u00e9passement de m\u00e9moire tampon qui peuvent \u00eatre [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":442214,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,32471,4158,4165,4161,11128,11685,4157,4159,4171,4170,4167,4160,120,4163,4162,28969,185,2212,4172,4169,4166,4164,12365],"class_list":["post-442213","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-correctif","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-gravite","tag-haute","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-openssl","tag-pour","tag-publie","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-vulnerabilites"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/442213","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=442213"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/442213\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/442214"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=442213"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=442213"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=442213"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}