{"id":598978,"date":"2023-02-09T08:33:26","date_gmt":"2023-02-09T10:33:26","guid":{"rendered":"https:\/\/teknomers.com\/fr\/openssl-corrige-plusieurs-nouvelles-failles-de-securite-avec-la-derniere-mise-a-jour\/"},"modified":"2023-02-09T08:33:28","modified_gmt":"2023-02-09T10:33:28","slug":"openssl-corrige-plusieurs-nouvelles-failles-de-securite-avec-la-derniere-mise-a-jour","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/openssl-corrige-plusieurs-nouvelles-failles-de-securite-avec-la-derniere-mise-a-jour\/","title":{"rendered":"OpenSSL corrige plusieurs nouvelles failles de s\u00e9curit\u00e9 avec la derni\u00e8re mise \u00e0 jour"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 f\u00e9vrier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cryptage \/ Vuln\u00e9rabilit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Le projet OpenSSL a publi\u00e9 des correctifs pour corriger plusieurs failles de s\u00e9curit\u00e9, y compris un bogue de haute gravit\u00e9 dans la bo\u00eete \u00e0 outils de chiffrement open source qui pourrait potentiellement exposer les utilisateurs \u00e0 des attaques malveillantes.<\/p>\n<p>Suivi comme <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-0286\" target=\"_blank\"><strong>CVE-2023-0286<\/strong><\/a>le probl\u00e8me concerne un cas de confusion de type qui peut permettre \u00e0 un adversaire de &#8220;lire le contenu de la m\u00e9moire ou de proc\u00e9der \u00e0 un d\u00e9ni de service&#8221;, ont d\u00e9clar\u00e9 les responsables dans un avis.<\/p>\n<p>La vuln\u00e9rabilit\u00e9 est enracin\u00e9e dans la fa\u00e7on dont la biblioth\u00e8que cryptographique populaire g\u00e8re les certificats X.509, et est susceptible d&#8217;affecter uniquement les applications qui ont une impl\u00e9mentation personnalis\u00e9e pour r\u00e9cup\u00e9rer une liste de r\u00e9vocation de certificats (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Certificate_revocation_list\" target=\"_blank\">CRL<\/a>) sur un r\u00e9seau.<\/p>\n<p>&#8220;Dans la plupart des cas, l&#8217;attaque n\u00e9cessite que l&#8217;attaquant fournisse \u00e0 la fois la cha\u00eene de certificats et la CRL, dont aucune n&#8217;a besoin d&#8217;avoir une signature valide&#8221;, OpenSSL <a rel=\"nofollow noopener\" href=\"https:\/\/www.openssl.org\/news\/vulnerabilities.html\" target=\"_blank\">a dit<\/a>.  &#8220;Si l&#8217;attaquant ne contr\u00f4le qu&#8217;une seule de ces entr\u00e9es, l&#8217;autre entr\u00e9e doit d\u00e9j\u00e0 contenir une adresse X.400 en tant que point de distribution CRL, ce qui est rare.&#8221;<\/p>\n<p>Des d\u00e9fauts de confusion de type pourraient avoir <a rel=\"nofollow noopener\" href=\"https:\/\/cwe.mitre.org\/data\/definitions\/843.html\" target=\"_blank\">cons\u00e9quences s\u00e9rieuses<\/a>car ils pourraient \u00eatre transform\u00e9s en armes pour forcer d\u00e9lib\u00e9r\u00e9ment le programme \u00e0 se comporter de mani\u00e8re involontaire, provoquant \u00e9ventuellement un plantage ou l&#8217;ex\u00e9cution de code.<\/p>\n<p>Le probl\u00e8me a \u00e9t\u00e9 corrig\u00e9 dans les versions 3.0.8, 1.1.1t et 1.0.2zg d&#8217;OpenSSL.  Autres failles de s\u00e9curit\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.openssl.org\/news\/secadv\/20230207.txt\" target=\"_blank\">adress\u00e9<\/a> dans le cadre des derni\u00e8res mises \u00e0 jour incluent\u00a0:<\/p>\n<ul>\n<li><strong>CVE-2022-4203<\/strong> &#8211; Contraintes de nom X.509 Read Buffer Overflow<\/li>\n<li><strong>CVE-2022-4304<\/strong> &#8211; Synchronisation d&#8217;Oracle dans le d\u00e9chiffrement RSA<\/li>\n<li><strong>CVE-2022-4450<\/strong> &#8211; Double gratuit apr\u00e8s avoir appel\u00e9 PEM_read_bio_ex<\/li>\n<li><strong>CVE-2023-0215<\/strong> &#8211; Use-after-free suivant BIO_new_NDEF <\/li>\n<li><strong>CVE-2023-0216<\/strong> &#8211; D\u00e9r\u00e9f\u00e9rencement de pointeur invalide dans les fonctions d2i_PKCS7<\/li>\n<li><strong>CVE-2023-0217<\/strong> &#8211; D\u00e9r\u00e9f\u00e9rencement NULL validant la cl\u00e9 publique DSA<\/li>\n<li><strong>CVE-2023-0401<\/strong> &#8211; D\u00e9r\u00e9f\u00e9rencement NULL lors de la v\u00e9rification des donn\u00e9es PKCS7<\/li>\n<\/ul>\n<p>L&#8217;exploitation r\u00e9ussie des lacunes ci-dessus pourrait entra\u00eener un plantage de l&#8217;application, divulguer le contenu de la m\u00e9moire et m\u00eame r\u00e9cup\u00e9rer des messages en clair envoy\u00e9s sur un r\u00e9seau en tirant parti d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/nakedsecurity.sophos.com\/2023\/02\/08\/openssl-fixes-high-severity-data-stealing-bug-patch-now\/\" target=\"_blank\">canal lat\u00e9ral bas\u00e9 sur la synchronisation<\/a> dans ce qui est une attaque de style Bleichenbacher.<\/p>\n<p>Les correctifs arrivent pr\u00e8s de deux mois apr\u00e8s qu&#8217;OpenSSL ait corrig\u00e9 une faille de faible gravit\u00e9 (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-3996\" target=\"_blank\">CVE-2022-3996<\/a>) qui survient lors du traitement d&#8217;un certificat X.509, entra\u00eenant une condition de d\u00e9ni de service.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/openssl-fixes-multiple-new-security.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 f\u00e9vrier 2023\ue804Ravie LakshmananCryptage \/ Vuln\u00e9rabilit\u00e9 Le projet OpenSSL a publi\u00e9 des correctifs pour corriger plusieurs failles de s\u00e9curit\u00e9, y compris un bogue de haute gravit\u00e9 dans la bo\u00eete \u00e0 outils de chiffrement open source qui pourrait potentiellement exposer les utilisateurs \u00e0 des attaques malveillantes. Suivi comme CVE-2023-0286le probl\u00e8me concerne un cas de confusion de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":598979,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[84,4168,6815,4158,4165,4161,1869,4806,3995,4157,4159,4171,4170,4167,2811,4160,120,4163,4162,28969,701,1835,4172,4169,4166,4164],"class_list":["post-598978","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avec","tag-comment-pirater","tag-corrige","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-derniere","tag-failles","tag-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mise","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-openssl","tag-plusieurs","tag-securite","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/598978","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=598978"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/598978\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/598979"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=598978"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=598978"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=598978"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}