Origine : bjCSIRT
Numéro : 2025/ALERTE/033
Date de l’alerte : 18/04/2025
APERÇU :
Une vulnérabilité critique identifiée dans Erlang/OTP permettrait à un acteur malveillant d’exécuter du code arbitraire à distance sur le système cible.
DESCRIPTION :
OTP est un ensemble de bibliothèques et de principes de conception utilisé pour développer des applications Erlang fiables. Il intègre un module SSH permettant de mettre en place un serveur SSH pour se connecter en toute sécurité à ces applications.
Ce module est affecté par la vulnérabilité libellée CVE-2025-32433 qui résulte d’un traitement incorrect de certaines données échangées pendant l’établissement de la connexion SSH.
L’exploitation de cette vulnérabilité permettrait à un acteur malveillant d’exécuter du code arbitraire sur le serveur SSH en envoyant des paquets spécialement conçus à cet effet.
Cette vulnérabilité est classée critique avec un score de sévérité de 10.0 selon le CVSS v3.1.
IMPACT :
- Compromission du système ;
- Atteinte à la confidentialité des données;
- Atteinte à l’intégrité ;
- Atteinte à la disponibilité.
SYSTÈMES AFFECTÉS :
- OTP versions 27.3.x antérieures à 27.3.3 ;
- OTP versions 26.2.5.x antérieures à 26.2.5.11 ;
- OTP versions 25.3.2.x antérieures à 25.3.2.20.
MESURES À PRENDRE :
- Mettre à jour Erlang/OTP vers sa dernière version disponible.
RÉFÉRENCES :
