Deux vulnérabilités ont été découvertes dans OpenSSL. Elles permettent à un attaquant de provoquer une atteinte à l'intégrité et à la confidentialité des données.
Les vulnérabilités suivantes ont été corrigées :
- CVE-2017-3735 : Lors du parsing de l’extension IPAddressFamily d’un certificat x509, il est possible d’effectuer un dépassement d’un octet, résultant sur une erreur d’affichage du certificat au format texte.
- CVE-2017-3736 : Un utilisateur distant peut exploiter un défaut de propagation dans la fonction x86_64 bn_sqrx8x_internal () de Montgomery pour tenter de déterminer des informations sur la clé privée. Les conditions d’exploitation sont cependant contraignantes, rendant l’attaque très couteuse en termes de ressources matérielles.
Informations
+
Impact
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
Criticité
- Modérée
Existence d’un code d’exploitation de la vulnérabilité
Il n’existe pas actuellement de code d’exploitation de la vulnérabilité.
Composants & versions vulnérables
- OpenSSL versions 1.1.x antérieures à 1.1.0g
- OpenSSL versions 1.0.x antérieures à 1.0.2m
CVE
- CVE-2017-3735
- CVE-2017-3736
Recommandations
+
Correctifs
Les utilisateurs des versions 1.1.0 sont invités à mettre à jour vers la version 1.1.0g et les utilisateurs de la version 1.0.2 sont invités à mettre à jour vers la version 1.0.2m.
Solution de contournement
Il n’existe pas actuellement de solution de contournement.