ClickCease Correction de multiples vulnérabilités d'OpenSSL

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Correction de multiples vulnérabilités d'OpenSSL

Rohan Timalsina

5 octobre 2023 - L'équipe d'experts de TuxCare

En 2023, 17 vulnérabilités au total ont été corrigées dans OpenSSL, une bibliothèque de cryptographie très répandue. Elles présentent un risque important en raison de leur potentiel à causer des perturbations substantielles de la disponibilité. Les vulnérabilités sont de gravité élevée, modérée et faible selon les mesures de gravité d'OpenSSL.

 

Vulnérabilités d'OpenSSL en 2023

CVE-2023-4807 (08 septembre 2023)

Un bogue a été découvert dans l'implémentation du code d'authentification des messages (MAC) POLY1305. Ce bogue peut perturber l'état interne des applications fonctionnant sur la plate-forme Windows 64 bits, en particulier lorsqu'elles sont exécutées sur des processeurs X86_64 modernes qui prennent en charge les instructions AVX512-IFMA. Cette vulnérabilité n'affecte pas les autres systèmes d'exploitation.

 

CVE-2023-2650 (30 mai 2023)

Le traitement de certains identificateurs d'objets ASN.1 spécialement élaborés ou de données les contenant peut entraîner des ralentissements importants des performances.

Les applications utilisant directement OBJ_obj2txt() ou employant des sous-systèmes OpenSSL tels que OCSP, PKCS7/SMIME, CMS, CMP/CRMF ou TS sans imposer de limites à la taille des messages peuvent subir des retards de traitement importants, voire considérables, pour ces messages, ce qui peut entraîner un déni de service (DoS).

 

CVE-2023-0464 (21 mars 2023)

Une faille de sécurité a été découverte, affectant toutes les versions actuellement supportées d'OpenSSL. Cette vulnérabilité concerne la vérification des chaînes de certificats X.509 contenant des contraintes de politique. Les attaquants ont la possibilité d'exploiter cette vulnérabilité en créant une chaîne de certificats malveillante qui induit une consommation exponentielle des ressources informatiques, ce qui entraîne une attaque par déni de service sur les systèmes vulnérables.

CVE-2023-0286 (07 février 2023)

Une vulnérabilité impliquant une confusion de type a été identifiée concernant le traitement des adresses X.400 dans un GeneralName X.509. Dans ce contexte, les adresses X.400 ont été initialement analysées comme des ASN1_STRING, mais la définition de la structure publique pour GENERAL_NAME a incorrectement spécifié le type du champ x400Address comme ASN1_TYPE. Par conséquent, ce champ est mal interprété par la fonction OpenSSL GENERAL_NAME_cmp comme étant un ASN1_TYPE plutôt qu'un ASN1_STRING.

Lorsque la vérification de la CRL est activée (c'est-à-dire lorsque l'application active le drapeau X509_V_FLAG_CRL_CHECK), cette vulnérabilité peut permettre à un attaquant de fournir des pointeurs arbitraires à un appel memcmp. Ceci, à son tour, pourrait permettre à l'attaquant de lire le contenu de la mémoire ou d'initier une attaque par déni de service.

 

LibCare de TuxCare pour la sécurité d'OpenSSL

LibCare, un outil complémentaire de KernelCare Enterprise, fournit des services de correctifs en direct pour les bibliothèques partagées telles que glibc et OpenSSL, qui sont susceptibles de faire l'objet de menaces de sécurité.

Étant donné que de nombreux serveurs reposent sur des systèmes d'exploitation basés sur Linux, les vulnérabilités dans les bibliothèques critiques telles qu'OpenSSL peuvent présenter des risques importants. Ne faites plus de compromis sur la sécurité d'OpenSSL et ne perturbez plus vos opérations. Avec LibCare de TuxCare, améliorez la posture de sécurité de votre entreprise grâce à des correctifs automatisés et non perturbateurs.

 

Réflexions finales

Les vulnérabilités d'OpenSSL pourraient être exploitées de manière malveillante pour exécuter des attaques DoS, ce qui pourrait entraîner une perte d'accessibilité du système, voire compromettre son intégrité. Pour protéger vos systèmes contre ces menaces, il est essentiel d'appliquer rapidement la mise à jour de sécurité fournie par OpenSSL. Nous recommandons vivement à tous les utilisateurs concernés d'appliquer immédiatement les mises à jour d'OpenSSL diffusées par leurs distributions respectives.

TuxCare a déjà publié des correctifs pour les vulnérabilités mentionnées ci-dessus. Pour plus d'informations, consultez le tableau de bord CVE.

 

La source de cet article est disponible sur OpenSSL.

Résumé
Correction de multiples vulnérabilités d'OpenSSL
Nom de l'article
Correction de multiples vulnérabilités d'OpenSSL
Description
OpenSSL corrige de nombreuses failles de sécurité de gravité variable. Découvrez les correctifs et l'importance des mises à jour en temps voulu.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information