Support technique
Documentation
Connexion
Nous contacter
La vulnérabilité d'OpenSSL qualifiée de "critique" est moins grave que prévu
Obanla Opeyemi
18 novembre 2022 - L'équipe d'experts de TuxCare
Les correctifs tant attendus d'OpenSSL pour corriger une faille de sécurité de gravité critique sont maintenant disponibles. Les nouveaux correctifs d'OpenSSL ont réduit la gravité du bogue de critique à élevée.
Le bogue Heartbleed était un bogue de fuite de données dans OpenSSL qui pouvait être déclenché par des clients et des utilisateurs aléatoires d'Internet contre des serveurs presque partout.
OpenSSL 1.1.1 est mis à niveau vers la version 1.1.1s et corrige un bogue de sécurité répertorié, mais ce bogue n'a pas de cote de sécurité ou de numéro CVE officiel, tandis qu'OpenSSL 3.0 est mis à niveau vers la version 3.0.7 et corrige non pas une mais deux vulnérabilités numérotées CVE, toutes deux officiellement décrites comme étant de haute gravité. Lors de la publication d'un correctif pour CVE-2022-3602, un nouveau bogue similaire, CVE-2022-3786, a été découvert.
Jusqu'à la publication du correctif, les vulnérabilités spécifiques de CVE-2022-37786 et CVE-2022-3602 étaient largement inconnues, mais les analystes et les entreprises de sécurité web ont indiqué qu'il pourrait y avoir des problèmes importants et des difficultés de maintenance. Certaines distributions Linux, telles que Fedora, ont retardé la publication jusqu'à ce que le correctif soit disponible. Entre-temps, ces vulnérabilités affectent principalement les clients, et non les serveurs.
Les utilisateurs doivent maintenant utiliser OpenSSL 1.1.1s ou OpenSSL 3.0.7 pour remplacer la version utilisée actuellement, car la version 1.1.1s a reçu un correctif de sécurité. La version 3.0.7 reçoit également des correctifs pour les deux vulnérabilités de haute gravité numérotées CVE. La version 1.0.2 continuera à être prise en charge et mise à jour, mais uniquement pour les clients qui ont signé un contrat avec l'équipe.
Selon un billet de blog de l'équipe de sécurité d'OpenSSL, les organisations ont testé et fourni des informations en une semaine environ. Sur certaines distributions Linux, le dépassement de capacité de 4 octets qui était possible dans une attaque écrasait un tampon adjacent qui n'avait pas encore été utilisé, empêchant ainsi un plantage du système ou l'exécution de code. L'autre bogue permettait seulement à un attaquant de modifier la longueur d'un débordement, pas son contenu.
Les sources de cet article comprennent un article d'ArsTechnica.
