Vulnérabilité De Corruption De La Mémoire À Distance

La dernière version de la bibliothèque OpenSSL a été découverte comme sensible à une vulnérabilité de corruption de mémoire à distance sur certains systèmes.

Le problème a été identifié dans OpenSSL version 3.0.4qui a été publié le 21 juin 2022 et a un impact sur les systèmes x64 avec le AVX-512 jeu d’instructions. OpenSSL 1.1.1 ainsi que les forks OpenSSL BoringSSL et LibreSSL ne sont pas affectés.

Le chercheur en sécurité Guido Vranken, qui a signalé le bogue fin mai, a dit il « peut être déclenché de manière triviale par un attaquant ». Bien que la lacune ait été fixéaucun correctif n’a encore été mis à disposition.

OpenSSL est une bibliothèque de cryptographie populaire qui offre une implémentation open source du Transport Layer Security (TLS) protocole. Extensions vectorielles avancées (AVX) sont des extensions de l’architecture du jeu d’instructions x86 pour les microprocesseurs d’Intel et d’AMD.

« Je ne pense pas qu’il s’agisse d’une faille de sécurité », a déclaré Tomáš Mráz de la Fondation OpenSSL dans un fil de discussion GitHub. « C’est juste un bogue sérieux qui rend la version 3.0.4 inutilisable sur les machines compatibles AVX-512. »

Publicité
La Cyber-Sécurité

D’un autre côté, Alex Gaynor a souligné : « Je ne suis pas sûr de comprendre en quoi il ne s’agit pas d’une vulnérabilité de sécurité. C’est un dépassement de mémoire tampon qui peut être déclenché par des éléments tels que les signatures RSA, ce qui peut facilement se produire dans des contextes distants (par exemple, une poignée de main TLS ). »

Xi Ruoyao, un étudiant de troisième cycle à l’Université de Xidian, est intervenu en déclarant que même si « je pense que nous ne devrions pas marquer un bogue comme une » vulnérabilité de sécurité « à moins que nous ayons des preuves montrant qu’il peut (ou du moins, peut) être exploité », il est nécessaire de publier la version 3.0.5 dès que possible compte tenu de la gravité du problème.


Rate this post
Publicité
Article précédentNvidia a peut-être tué le RTX 3080 12 Go
Article suivantQuelle est la réponse de Lewdle aujourd’hui ? Trucs et astuces pour le mardi 28 juin
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici