Le projet OpenSSL a publié des correctifs pour corriger plusieurs failles de sécurité, y compris un bogue de haute gravité dans la boîte à outils de chiffrement open source qui pourrait potentiellement exposer les utilisateurs à des attaques malveillantes.
Suivi comme CVE-2023-0286le problème concerne un cas de confusion de type qui peut permettre à un adversaire de « lire le contenu de la mémoire ou de procéder à un déni de service », ont déclaré les responsables dans un avis.
La vulnérabilité est enracinée dans la façon dont la bibliothèque cryptographique populaire gère les certificats X.509, et est susceptible d’affecter uniquement les applications qui ont une implémentation personnalisée pour récupérer une liste de révocation de certificats (CRL) sur un réseau.
« Dans la plupart des cas, l’attaque nécessite que l’attaquant fournisse à la fois la chaîne de certificats et la CRL, dont aucune n’a besoin d’avoir une signature valide », OpenSSL a dit. « Si l’attaquant ne contrôle qu’une seule de ces entrées, l’autre entrée doit déjà contenir une adresse X.400 en tant que point de distribution CRL, ce qui est rare. »
Des défauts de confusion de type pourraient avoir conséquences sérieusescar ils pourraient être transformés en armes pour forcer délibérément le programme à se comporter de manière involontaire, provoquant éventuellement un plantage ou l’exécution de code.
Le problème a été corrigé dans les versions 3.0.8, 1.1.1t et 1.0.2zg d’OpenSSL. Autres failles de sécurité adressé dans le cadre des dernières mises à jour incluent :
- CVE-2022-4203 – Contraintes de nom X.509 Read Buffer Overflow
- CVE-2022-4304 – Synchronisation d’Oracle dans le déchiffrement RSA
- CVE-2022-4450 – Double gratuit après avoir appelé PEM_read_bio_ex
- CVE-2023-0215 – Use-after-free suivant BIO_new_NDEF
- CVE-2023-0216 – Déréférencement de pointeur invalide dans les fonctions d2i_PKCS7
- CVE-2023-0217 – Déréférencement NULL validant la clé publique DSA
- CVE-2023-0401 – Déréférencement NULL lors de la vérification des données PKCS7
L’exploitation réussie des lacunes ci-dessus pourrait entraîner un plantage de l’application, divulguer le contenu de la mémoire et même récupérer des messages en clair envoyés sur un réseau en tirant parti d’un canal latéral basé sur la synchronisation dans ce qui est une attaque de style Bleichenbacher.
Les correctifs arrivent près de deux mois après qu’OpenSSL ait corrigé une faille de faible gravité (CVE-2022-3996) qui survient lors du traitement d’un certificat X.509, entraînant une condition de déni de service.
