Les mainteneurs du projet OpenSSL ont publié des correctifs pour résoudre un bogue de haute gravité dans la bibliothèque cryptographique qui pourrait potentiellement conduire à l’exécution de code à distance dans certains scénarios.
La publierdésormais affecté de l’identifiant CVE-2022-2274a été décrit comme un cas de corruption de mémoire de tas avec une opération de clé privée RSA qui a été introduite dans OpenSSL version 3.0.4 publiée le 21 juin 2022.
Lancé pour la première fois en 1998, OpenSSL est une solution à usage général bibliothèque de cryptographie qui offre une implémentation open source des protocoles Secure Sockets Layer (SSL) et Transport Layer Security (TLS), permettant aux utilisateurs de générer des clés privées, de créer des demandes de signature de certificat (CSR), installez les certificats SSL/TLS.
« Les serveurs SSL/TLS ou d’autres serveurs utilisant des clés privées RSA 2048 bits s’exécutant sur des machines prenant en charge les instructions AVX512IFMA de l’architecture X86_64 sont concernés par ce problème », indique l’avis. c’est noté.
Appelant cela un « bogue sérieux dans l’implémentation de RSA », les responsables ont déclaré que la faille pourrait entraîner une corruption de la mémoire pendant le calcul qui pourrait être militarisée par un attaquant pour déclencher l’exécution de code à distance sur la machine effectuant le calcul.
Xi Ruoyao, un doctorat. étudiant à l’Université de Xidian, a été crédité d’avoir signalé la faille à OpenSSL le 22 juin 2022. Il est recommandé aux utilisateurs de la bibliothèque de passer à OpenSSL version 3.0.5 pour atténuer toute menace potentielle.