Colin-Thierry
Le projet OpenSSL a récemment corrigé deux failles de sécurité très graves dans sa bibliothèque cryptographique open source utilisée pour chiffrer les canaux de communication et les connexions HTTPS.
Ces vulnérabilités (CVE-2022-3602 et CVE-2022-3786) ont un impact sur OpenSSL version 3.0.0 et ultérieure et ont été résolus dans OpenSSL 3.0.7.
CVE-2022-3602 peut être exploité pour provoquer des plantages ou l'exécution de code à distance (RCE), tandis que CVE-2022-3786 peut être utilisé par des acteurs malveillants via des adresses e-mail malveillantes pour déclencher un état de déni de service.
"Nous considérons toujours ces problèmes comme de graves vulnérabilités et les utilisateurs concernés sont encouragés à effectuer la mise à niveau dès que possible", a déclaré l'équipe OpenSSL dans un communiqué. déclaration mardi.
"Nous n'avons connaissance d'aucun exploit fonctionnel qui pourrait conduire à l'exécution de code à distance, et nous n'avons aucune preuve que ces problèmes soient exploités au moment de la publication de ce message", a-t-il ajouté.
Selon OpenSSL politique de sécurité, les entreprises (comme ExpressVPN) et les administrateurs informatiques étaient averti la semaine dernière pour rechercher des vulnérabilités dans leurs environnements et se préparer à les corriger une fois OpenSSL 3.0.7 sorti.
"Si vous savez à l'avance où vous utilisez OpenSSL 3.0+ et comment vous l'utilisez, lorsque l'avis arrivera, vous serez en mesure de déterminer rapidement si ou comment vous êtes affecté et ce que vous devez corriger", a affirmé Valérie Plante. Le fondateur d'OpenSSL, Mark J Cox, dans un message Twitter.
OpenSSL a également fourni des mesures d'atténuation obligeant les administrateurs exploitant des serveurs TLS (Transport Layer Security) à désactiver l'authentification client TLS jusqu'à ce que les correctifs soient appliqués.
L'impact des vulnérabilités était beaucoup plus limité qu'on ne le pensait initialement étant donné que CVE-2022-3602 a été rétrogradé de critique à haute gravité et n'affecte que les instances OpenSSL 3.0 et ultérieures.
Par entreprise de sécurité cloud Wiz.io, seulement 1.5 % de toutes les instances OpenSSL se sont avérées affectées par la faille de sécurité après avoir analysé les déploiements dans les principaux environnements cloud (y compris AWS, GCP, Azure, OCI et Alibaba Cloud).
Le Centre national de cybersécurité des Pays-Bas a également partagé un liste des produits logiciels confirmés ne pas être affectés par la vulnérabilité OpenSSL.
