16/12/2024
IT-Connect » Actualités » Actu Cybersécurité » Cette faille dans OpenSSL permet de provoquer un déni de service à distance

Actu CybersécuritéWeb

Cette faille dans OpenSSL permet de provoquer un déni de service à distance

Florian BURNEL 0 commentaire

Une nouvelle version d'OpenSSL est dès à présent disponible dans le but de corriger une faille de sécurité importante qui permet à un attaquant de provoquer un déni de service à distance.

La vulnérabilité CVE-2022-0778

Associée à la référence CVE-2022-0778, ce problème de sécurité se produit lors de l'analyse d'un certificat malformé à cause de paramètres invalides, ce qui entraîne une "boucle infinie" et mène à un plantage du serveur. Au sein d'OpenSSL, cette faille se trouve dans une fonction appelée BN_mod_sqrt() qui est utilisée pour réaliser un calcul mathématique.

Dans un bulletin de sécurité publié le 15 mars, OpenSSL précise : "étant donné que l'analyse du certificat a lieu avant la vérification de la signature du certificat, tout processus qui analyse un certificat fourni par un tiers peut donc faire l'objet d'une attaque par déni de service".

Pour l'instant, il n'y a pas de preuve que cette vulnérabilité a été exploitée dans le cadre d'attaques, mais plusieurs scénarios semblent envisageables. Par exemple, lorsqu'un client ou un serveur TLS (TLS fonctionne en mode client-serveur) accède à un certificat falsifié provenant d'un client ou d'un serveur malveillant. Mais aussi, lorsqu'une autorité de certification analyse les demandes de certificats des clients.

L'historique de la vulnérabilité

Le chercheur en sécurité Tavis Ormandy, de l'équipe Google Project Zero, a fait la découverte de cette faille de sécurité. Il a remonté l'information aux équipes d'OpenSSL le 24 février 2022. Ensuite, le correctif a été développé par  David Benjamin de chez Google et Tomáš Mráz d'OpenSSL. Désormais, des correctifs sont disponibles !

Quelles sont les versions d'OpenSSL affectées ?

La vulnérabilité impacte plusieurs versions d'OpenSSL :

  • OpenSSL versions 1.0.2 antérieures à 1.0.2zd
  • OpenSSL versions 1.1.1 antérieures à 1.1.1n
  • OpenSSL versions 3.0.x antérieures à 3.0.2

La bonne nouvelle, c'est que les mises à jour sont disponibles au téléchargement pour les versions sous support. En toute logique, les versions patchées sont :

  • OpenSSL 1.0.2zd (pour les clients avec un support premium)
  • OpenSSL 1.1.1n
  • OpenSSL 3.0.2

Il est à noter qu'OpenSSL 1.1.0 est également affecté, mais il ne recevra pas de correctif, car il n'est plus sous support.

Pour visualiser la version actuelle d'OpenSSL installée sur une machine, vous pouvez utiliser la commande suivante :

openssl version

Le CERT-FR a également émis un bulletin de sécurité au sujet de cette vulnérabilité OpenSSL.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Une faille dans Sudo vieille de 10 ans touche Linux

Florian BURNEL 1

Un nouveau ransomware utilise Windows PowerShell

Florian BURNEL 0
Ransomware - Cible les administrateurs systèmes sous Windows

Malvertising : un gang de ransomware cible les administrateurs systèmes sous Windows, grâce à PuTTY et WinSCP

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.