Liens rapides
**Mises à jour**
2022-11-01
Les détails de deux vulnérabilités de haute sévérité corrigées dans la version 3.0.7 d'OpenSSL sont maintenant disponibles(CVE-2022-3786, CVE-2022-3602). Il s'agit dans les deux cas de débordements de mémoire tampon dans le processus de vérification des certificats X.509, "en particulier dans la vérification des contraintes de nom ".
Le premier, CVE-2022-3786, permet à un acteur de la menace de "créer une adresse électronique malveillante dans un certificat pour déborder un nombre arbitraire d'octets contenant le caractère `.`". La seconde, CVE-2022-3602, est similaire, mais dans ce cas, un acteur de la menace pourrait "fabriquer un courriel malveillant pour faire déborder quatre octets contrôlés par l'attaquant sur la pile". Cela pourrait entraîner un déni de service ou une exécution de code à distance.
Bien que les serveurs et les clients OpenSSL soient vulnérables à cette attaque, il est plus probable qu'un attaquant exploite un client qu'un client n'exploite un serveur. Mais dans les serveurs configurés avec une authentification bidirectionnelle où les deux côtés de la connexion échangent et vérifient les certificats, il est possible qu'un client exploite un serveur en envoyant un certificat malveillant ou malformé.
Et bien que ce type de configuration soit rare, il n'est pas exclu. Mais même si l'attaque réussit, de nombreuses autres variables, telles que les systèmes anti-débordement de mémoire tampon comme les canaris de pile et l'ASLR (Address Space Layout Randomization), entrent en ligne de compte pour contrecarrer l'exploitation.
En raison de cette complexité et des mesures de protection du système, les développeurs d'OpenSSL ont réduit la criticité de la CVE de CRITIQUE à ÉLEVÉE.
Si vous utilisez les versions 3.0.0-3.0.6 d'OpenSSL , nous vous recommandons de passer à la version la plus récente d'OpenSSL (actuellement 3.0.7) afin de vous protéger contre les attaques potentielles.
Introduction
OpenSSL est une bibliothèque logicielle qui permet aux applications de communiquer en toute sécurité avec d'autres applications en réseau à l'aide d'un large éventail de fonctions cryptographiques. Cette bibliothèque est largement déployée sur l'internet et constitue un élément essentiel de l'infrastructure de nombreuses organisations. C'est pourquoi l'équipe d'OpenSSL a averti tous les utilisateurs qu'une vulnérabilité critique avait été identifiée dans la base de code d'OpenSSL mardi dernier. Il s'agit d'une affaire importante, car la dernière fois que nous avons eu un bogue d'une telle criticité, c'était en 2014 avec la désormais célèbre vulnérabilité Heartbleed(CVE-2014-0160), qui nous hante encore aujourd'hui.
Bien que nous ne disposions pas de détails spécifiques sur cette vulnérabilité, plusieurs sources ont affirmé qu'elle n'affectait que la version 3.0.0 d'OpenSSL et les versions supérieures (les logiciels qui utilisent OpenSSL 1.0.2 ou 1.1.1 ne sont pas concernés). L'arbre 3.x est un ajout relativement récent à la gamme OpenSSL, qui a été publié en septembre 2021. Étant donné que cette version n'est disponible que depuis peu de temps, l'adoption généralisée semble avoir été minime. Cependant, une fois que cette vulnérabilité aura été rendue publique et que les nouvelles versions seront disponibles, les administrateurs utilisant la version 3.0.0 ou une version plus récente devront immédiatement passer à la version corrigée 3.0.7.
Identifier les versions vulnérables d'OpenSSL
Il est encore difficile de déterminer si un hôte est vulnérable à ce bogue non publié, car nous ne disposons pas de tous les détails. Cependant, nous pouvons examiner les services sur Internet qui annoncent la version spécifique d'OpenSSL qu'ils utilisent pour avoir une idée générale de ce qui sera vulnérable. Nous ne connaissons actuellement aucune technique autre que la vérification des en-têtes HTTP pour déterminer la version exacte d'OpenSSL utilisée, mais nous continuons à étudier d'autres solutions. Cela signifie que bien que nous puissions voir de nombreux serveurs potentiellement vulnérables, nous ne les connaissons pas tous, et les statistiques présentées dans cet article sont les limites inférieures de ce qui existe.
Heureusement, certains serveurs Internet, comme Apache, fournissent des informations qui nous permettent de savoir quelles versions spécifiques d'OpenSSL sont utilisées. Par exemple, dans la sortie suivante, nous voyons qu'Apache a ajouté tous ses modules chargés dans la sortie de l'en-tête "Server". L'un d'eux est la version d'OpenSSL sur laquelle le module mod_ssl a été compilé :