Découverte d’une vulnérabilité OpenSSL

Une vulnérabilité CVE-2024-5535 de faible gravité a été découverte dans OpenSSL.

Une nouvelle vulnérabilité a été découverte dans OpenSSL mais non corrigée est répertoriée sous le code CVE-2024-5535.

Cette vulnérabilité permet à un attaquant de provoquer une atteinte à la confidentialité des données et un déni de service. Les versions concernées incluent OpenSSL 3.x, 1.1.1 et 1.0.2. La découverte de cette vulnérabilité est attribuée à Joseph Birr-Pixton, avec l’analyse de David Benjamin de Google et le développement du correctif par Matt Caswell.

Selon un rapport d’Ubuntu daté du 27 juin 2024, cette vulnérabilité a été classée comme étant de faible gravité. La vulnérabilité est due à une lecture excessive du tampon, ce qui peut entraîner un comportement inattendu de l’application ou un crash. En particulier, elle pourrait permettre l’envoi à l’homologue de jusqu’à 255 octets de données privées arbitraires de la mémoire, entraînant une perte de confidentialité. En raison de la faible gravité de ce problème, il n’y a pas de nouvelles versions d’OpenSSL pour le moment. Le correctif sera inclus dans les prochaines versions lorsqu’elles seront disponibles.

Cette vulnérabilité est également classée sous CWE-200 : Exposition d’informations sensibles à un acteur non autorisé.

Vulnérabilités récentes d’OpenSSL

  • CVE-2023-0286 : Une vulnérabilité de type confusion peut permettre à un attaquant de lire le contenu de la mémoire ou de lancer des attaques de déni de service. Elle affecte principalement les applications ayant implémenté leur propre fonctionnalité de récupération de CRLs sur un réseau.
  • CVE-2023-3446 et CVE-2023-3817 : Ces deux vulnérabilités sont liées à la vérification excessive des clés DH ou des paramètres, ce qui peut entraîner des délais importants et potentiellement des attaques de déni de service.
  • CVE-2024-4603 : Une vulnérabilité d’itération excessive dans la mise en œuvre de certains algorithmes cryptographiques d’OpenSSL. Cette faille peut permettre à un attaquant d’exploiter cette itération excessive pour accéder de manière non autorisée à des données sensibles, manipuler des opérations cryptographiques ou lancer des attaques de déni de service.
  • CVE-2023-2975 : Une faille dans la mise en œuvre de l’algorithme AES-SIV, qui entraîne l’ignorance des données associées vides non authentifiées. Bien que ce problème soit classé de gravité faible, il pourrait encore avoir des impacts sur certaines applications spécifiques.

Ces vulnérabilités montrent la nécessité pour les utilisateurs et les administrateurs systèmes d’OpenSSL de rester vigilants et de mettre à jour régulièrement leurs versions logicielles pour inclure les derniers correctifs de sécurité disponibles.

En conclusion, la vulnérabilité CVE-2024-5535 met en évidence l’importance de maintenir à jour les bibliothèques cryptographiques et d’appliquer les meilleures pratiques de sécurité pour protéger les données sensibles et assurer l’intégrité des systèmes. Pour plus d’informations, consultez le rapport officiel CVE-2024-5535.

 

 

A propos de l'auteur

Retour en haut