L’équipe de projet OpenSSL a récemment
annoncé la sortie de la version 3.0.7 OpenSSL, qui sera disponible le mardi 1er novembre entre 1300-1700 UTC. La mise à jour est un correctif de sécurité pour une vulnérabilité dans OpenSSL 3.0.x. . nous recommandons vivement aux développeurs et aux administrateurs de hiérarchiser les patchs des instances d’OpenSSL 3 dans leur environnement lorsque le correctif est publié le mardi.
Cet article sera mis à jour à mesure que plus d’informations seront disponibles.
Pour recevoir une notification par e-mail lorsque cet article est mis à jour, cliquez sur S'inscrire sur la droite de la page. Vous devez être connecté pour vous inscrire.
Le 1er novembre 2022, OpenSSL a publié un
avis sur cve-2022-3786 (« débordement de mémoire tampon de longueur variable d’adresse e-mail x. 509 ») et CVE-2022-3602 (« débordement de mémoire tampon de 4 octets dans l’adresse E-mail de x. 509 »). CVE-2022-3602 a été évalué à l’origine par OpenSSL Project comme critique, mais a été réduit plus tard en gravité élevée. Pour plus d’informations à ce sujet, consultez le billet de
blogOpenSSL correspondant. Vous trouverez des informations supplémentaires dans ce billet de
blogTrellix.
Le bulletin de sécurité
SB10390 est également désormais disponible.
CVE-2022-3602
Une saturation de la mémoire tampon peut être déclenchée dans la vérification du certificat X. 509, spécifiquement dans la vérification des contraintes de nom. Notez que cela se produit après la vérification de la chaîne de certificats signature et nécessite qu’une autorité de certification ait signé un certificat malveillant ou pour qu’un application continue la vérification du certificat malgré l’échec de la création d’un chemin d’accès à un émetteur approuvé. Un attaquant peut concevoir une adresse e-mail malveillante dans un certificat pour déborder un nombre arbitraire d’octets contenant le caractère'. ' (décimal 46) dans la pile. Ce débordement de mémoire tampon peut provoquer une panne (provoquant un déni de service). Dans un client TLS, il est possible de le déclencher en vous connectant à un serveur malveillant. Dans un serveur TLS, il peut être déclenché si le serveur demande l’authentification client et si un client malveillant se connecte.
https://web.nvd.nist.gov/view/vuln/detail ?vulnId=CVE-2022-3602
https://CVE.mitre.org/cgi-bin/cvename.cgi ?Name=CVE-2022-3602
CVE-2022-3786
Une saturation de la mémoire tampon peut être déclenchée dans la vérification du certificat X. 509, spécifiquement dans la vérification des contraintes de nom.
Notez que cela se produit après la vérification de la chaîne de certificats signature et nécessite qu’une autorité de certification ait signé un certificat malveillant ou pour qu’un application continue la vérification du certificat malgré l’échec de la création d’un chemin d’accès à un émetteur approuvé. Un attaquant peut concevoir une adresse e-mail malveillante dans un certificat pour déborder un nombre arbitraire d’octets contenant le caractère'. ' (décimal 46) dans la pile. Ce débordement de mémoire tampon peut provoquer une panne (provoquant un déni de service). Dans un client TLS, il est possible de le déclencher en vous connectant à un serveur malveillant. Dans un serveur TLS, il peut être déclenché si le serveur demande l’authentification client et si un client malveillant se connecte.
https://web.nvd.nist.gov/view/vuln/detail ?vulnId=CVE-2022-3786
https://CVE.mitre.org/cgi-bin/cvename.cgi ?Name=CVE-2022-3786