OpenSSL v3.0.4, la dernière version de la bibliothèque open-source pour les applications qui sécurisent les communications, semble porter un bogue de haute gravité qui pourraient permettre aux exploiteurs d’exécuter du code malveillant, à distance.
Le problème est qu’il n’y a pas de preuve de concept, ce qui signifie qu’il ne peut toujours pas être considéré comme une vulnérabilité à part entière, et la question demeure de savoir si cela arrivera un jour.
Les rapports affirment que cette version d’OpenSSL comporte une vulnérabilité de corruption de mémoire sur les processeurs avec l’extension AVX512 (Advanced Vector Extensions 512). La version a été publiée dans le but de corriger une vulnérabilité d’injection de commande antérieure (CVE-2022-2068) qui, elle-même, n’était pas en mesure de résoudre un problème encore plus ancien – CVE-2022-1292.
Vulnérabilité de haute gravité ou non ?
Sur GitHub, l’explication est que lorsque ossl_rsaz_mod_exp_avx512_x2() effectue un appel à bn_reduce_once_in_place(), l’appel inclut la valeur factor_size, qui est censée être le nombre de mots à traiter.
Cependant, l’ancien code envoyait une taille de bit, ce qui pouvait parfois entraîner un débordement de la mémoire tampon du tas. Comme le problème peut être créé via une poignée de main TLS, à distance point final l’abus est une possibilité.
Alors que certains chercheurs pensent que cela justifie un score de gravité de 10/10, tout le monde n’est pas d’accord.
Selon chercheur en sécurité Guido Vranken (s’ouvre dans un nouvel onglet)cette version « est sensible à la corruption de mémoire à distance qui peut être déclenchée de manière triviale par un attaquant ».
Vranken a ajouté que l’arborescence 1.1.1 de la bibliothèque est toujours utilisée, plutôt que l’arborescence v3, et que libssl a été forké dans LibreSSL et BoringSSL, ce qui pourrait compliquer les choses pour les attaquants potentiels.
De plus, la faille n’affecte que les puces x64 avec AVX512, ce qui rend la surface d’attaque d’autant plus petite.
D’autre part, Tomáš Mráz, développeur de logiciels à la Fondation OpenSSL, ne pense pas que cette faille constitue une faille de sécurité.
« Je ne pense pas qu’il s’agisse d’une faille de sécurité », a-t-il déclaré. « C’est juste un bogue sérieux [the] La version 3.0.4 est inutilisable sur les machines compatibles AVX512. »
La faille a depuis été corrigée, selon Le registremême si OpenSSL 3.0.5 n’est pas encore sorti.
- Protégez vos locaux numériques avec les meilleurs programmes antivirus du marché
Passant par: Le registre (s’ouvre dans un nouvel onglet)