Support technique
Documentation
Connexion
Nous contacter
En 2023, 17 vulnérabilités au total ont été corrigées dans OpenSSL, une bibliothèque de cryptographie très répandue. Elles présentent un risque important en raison de leur potentiel à causer des perturbations substantielles de la disponibilité. Les vulnérabilités sont de gravité élevée, modérée et faible selon les mesures de gravité d'OpenSSL.
Vulnérabilités d'OpenSSL en 2023
CVE-2023-4807 (08 septembre 2023)
Un bogue a été découvert dans l'implémentation du code d'authentification des messages (MAC) POLY1305. Ce bogue peut perturber l'état interne des applications fonctionnant sur la plate-forme Windows 64 bits, en particulier lorsqu'elles sont exécutées sur des processeurs X86_64 modernes qui prennent en charge les instructions AVX512-IFMA. Cette vulnérabilité n'affecte pas les autres systèmes d'exploitation.
Remarque : certaines de ces failles d'OpenSSL peuvent également avoir des répercussions en aval sur les implémentations VPN - par exemple, une vulnérabilité d'openvpn pourrait être exploitée si OpenSSL n'est pas mis à jour.
CVE-2023-2650 (30 mai 2023)
Le traitement de certains identificateurs d'objets ASN.1 spécialement élaborés ou de données les contenant peut entraîner des ralentissements importants des performances.
Les applications utilisant directement OBJ_obj2txt() ou employant des sous-systèmes OpenSSL tels que OCSP, PKCS7/SMIME, CMS, CMP/CRMF ou TS sans imposer de limites à la taille des messages peuvent subir des retards de traitement importants, voire considérables, pour ces messages, ce qui peut entraîner un déni de service (DoS).
CVE-2023-0464 (21 mars 2023)
Une faille de sécurité a été découverte, affectant toutes les versions actuellement supportées d'OpenSSL. Cette vulnérabilité concerne la vérification des chaînes de certificats X.509 contenant des contraintes de politique. Les attaquants ont la possibilité d'exploiter cette vulnérabilité en créant une chaîne de certificats malveillante qui induit une consommation exponentielle des ressources de calcul, ce qui entraîne une attaque par déni de service sur les systèmes vulnérables.
CVE-2023-0286 (07 février 2023)
Une vulnérabilité impliquant une confusion de type a été identifiée concernant le traitement des adresses X.400 dans un GeneralName X.509. Dans ce contexte, les adresses X.400 ont été initialement analysées comme des ASN1_STRING, mais la définition de la structure publique pour GENERAL_NAME a incorrectement spécifié le type du champ x400Address comme ASN1_TYPE. Par conséquent, ce champ est mal interprété par la fonction OpenSSL GENERAL_NAME_cmp comme étant un ASN1_TYPE plutôt qu'un ASN1_STRING.
Lorsque la vérification de la CRL est activée (c'est-à-dire lorsque l'application active le drapeau X509_V_FLAG_CRL_CHECK), cette vulnérabilité peut permettre à un attaquant de fournir des pointeurs arbitraires à un appel memcmp. Ceci, à son tour, pourrait permettre à l'attaquant de lire le contenu de la mémoire ou d'initier une attaque par déni de service.
Note : bien que nous nous soyons concentrés ici sur les failles d'OpenSSL, il est tout aussi important de maintenir vos serveurs Samba à jour, des correctifs récents de vulnérabilité de Samba (fin 2023) adressent des problèmes critiques de contournement d'authentification dans de nombreuses distributions.
LibCare de TuxCare pour la sécurité d'OpenSSL
LibCare, un outil complémentaire de KernelCare Enterprise, fournit des services de correctifs en direct pour les bibliothèques partagées telles que glibc et OpenSSL, qui sont susceptibles de faire l'objet de menaces de sécurité.
Étant donné que de nombreux serveurs reposent sur des systèmes d'exploitation basés sur Linux, les vulnérabilités dans les bibliothèques critiques telles qu'OpenSSL peuvent présenter des risques importants. Ne faites plus de compromis sur la sécurité d'OpenSSL et ne perturbez plus vos opérations. Avec LibCare de TuxCare, améliorez la posture de sécurité de votre entreprise grâce à des correctifs automatisés et non perturbateurs.
Réflexions finales
Les vulnérabilités d'OpenSSL pourraient être exploitées de manière malveillante pour exécuter des attaques DoS, ce qui pourrait entraîner une perte d'accessibilité du système, voire compromettre son intégrité. Pour protéger vos systèmes contre ces menaces, il est essentiel d'appliquer rapidement la mise à jour de sécurité fournie par OpenSSL. Nous recommandons vivement à tous les utilisateurs concernés d'appliquer immédiatement les mises à jour d'OpenSSL diffusées par leurs distributions respectives.
TuxCare a déjà publié des correctifs pour les vulnérabilités mentionnées ci-dessus. Pour plus d'informations, consultez le tableau de bord CVE.
La source de cet article est disponible sur OpenSSL.
