Origine: bjCSIRT
Numéro: 2022/ALERTE/040
Date de l’alerte: 01/11/2022
APERÇU :
Une vulnérabilité critique a été découverte sur les versions d’OpenSSL comprises entre 3.0 et 3.0.6, qui affecterait grandement les configurations courantes.
DESCRIPTION :
il s’agit d’une vulnérabilité critique affectant les versions actuelles de OpenSSL. En effet, OpenSSL est un utilitaire permettant de transmettre des données en toute sécurité sur Internet. De nombreux serveurs à travers le monde utilisent OpenSSL pour gérer la transmission sécurisée des données via des protocoles couramment utilisés tels que SSH et HTTPS. Cette vulnérabilité pourrait conduire à une divulgation du contenu de la mémoire du serveur (pouvant révéler des détails sur l’utilisateur), et peut être exploitée à distance pour compromettre les clés privées du serveur ou conduire à une exécution de code à distance.
Les détails de la vulnérabilité n’ont pas entièrement été publiés, mais vu la criticité de cette dernière, il est fortement recommandé d’installer les correctifs dès qu’ils seront publiés par l’éditeur.
IMPACT :
- Possible divulgation d’informations sensibles
- Compromission du Serveur
SYSTEMES AFFECTÉS
Versions d’OpenSSL comprises entre 3.0 et 3.0.6
MESURES À PRENDRE :
Il est fortement recommandé d’effectuer une mise à jour vers la dernière version 3.0.7 dès sa sortie.
REFERENCES :
- https://fossa.com/blog/openssl-vulnerability-2022-details-fixes/
- https://snyk.io/blog/new-openssl-critical-vulnerability/
- https://www.globalsign.com/en/blog/urgent-patch-openssl-november-1-avoid-critical-security-vulnerability
- https://blog.checkpoint.com/2022/10/30/openssl-gives-heads-up-to-critical-vulnerability-disclosure-check-point-alerts-organizations-to-prepare-now/