Présence de deux vulnérabilités dans OpenSSL

Deux vulnérabilités ont été découvertes dans OpenSSL. Elles permettent à un attaquant de provoquer une atteinte à l'intégrité et à la confidentialité des données.

Les vulnérabilités suivantes ont été corrigées :

  • CVE-2017-3735 : Lors du parsing de l’extension IPAddressFamily d’un certificat x509, il est possible d’effectuer un dépassement d’un octet, résultant sur une erreur d’affichage du certificat au format texte.
  • CVE-2017-3736 : Un utilisateur distant peut exploiter un défaut de propagation dans la fonction x86_64 bn_sqrx8x_internal () de Montgomery pour tenter de déterminer des informations sur la clé privée. Les conditions d’exploitation sont cependant contraignantes, rendant l’attaque très couteuse en termes de ressources matérielles.
Informations
+

Impact

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Criticité

  • Modérée

Existence d’un code d’exploitation de la vulnérabilité

Il n’existe pas actuellement de code d’exploitation de la vulnérabilité.

Composants & versions vulnérables

  • OpenSSL versions 1.1.x antérieures à 1.1.0g
  • OpenSSL versions 1.0.x antérieures à 1.0.2m

CVE

  • CVE-2017-3735
  • CVE-2017-3736

Recommandations
+

Correctifs

Les utilisateurs des versions 1.1.0 sont invités à mettre à jour vers la version 1.1.0g et les utilisateurs de la version 1.0.2 sont invités à mettre à jour vers la version 1.0.2m.

Solution de contournement

Il n’existe pas actuellement de solution de contournement.