Une nouvelle version d'OpenSSL est dès à présent disponible dans le but de corriger une faille de sécurité importante qui permet à un attaquant de provoquer un déni de service à distance.

La vulnérabilité CVE-2022-0778

Associée à la référence CVE-2022-0778, ce problème de sécurité se produit lors de l'analyse d'un certificat malformé à cause de paramètres invalides, ce qui entraîne une "boucle infinie" et mène à un plantage du serveur. Au sein d'OpenSSL, cette faille se trouve dans une fonction appelée BN_mod_sqrt() qui est utilisée pour réaliser un calcul mathématique.

Dans un bulletin de sécurité publié le 15 mars, OpenSSL précise : "étant donné que l'analyse du certificat a lieu avant la vérification de la signature du certificat, tout processus qui analyse un certificat fourni par un tiers peut donc faire l'objet d'une attaque par déni de service".

Pour l'instant, il n'y a pas de preuve que cette vulnérabilité a été exploitée dans le cadre d'attaques, mais plusieurs scénarios semblent envisageables. Par exemple, lorsqu'un client ou un serveur TLS (TLS fonctionne en mode client-serveur) accède à un certificat falsifié provenant d'un client ou d'un serveur malveillant. Mais aussi, lorsqu'une autorité de certification analyse les demandes de certificats des clients.

L'historique de la vulnérabilité

Le chercheur en sécurité Tavis Ormandy, de l'équipe Google Project Zero, a fait la découverte de cette faille de sécurité. Il a remonté l'information aux équipes d'OpenSSL le 24 février 2022. Ensuite, le correctif a été développé par  David Benjamin de chez Google et Tomáš Mráz d'OpenSSL. Désormais, des correctifs sont disponibles !

Quelles sont les versions d'OpenSSL affectées ?

La vulnérabilité impacte plusieurs versions d'OpenSSL :

• OpenSSL versions 1.0.2 antérieures à 1.0.2zd
• OpenSSL versions 1.1.1 antérieures à 1.1.1n
• OpenSSL versions 3.0.x antérieures à 3.0.2

La bonne nouvelle, c'est que les mises à jour sont disponibles au téléchargement pour les versions sous support. En toute logique, les versions patchées sont :

• OpenSSL 1.0.2zd (pour les clients avec un support premium)
• OpenSSL 1.1.1n
• OpenSSL 3.0.2

Il est à noter qu'OpenSSL 1.1.0 est également affecté, mais il ne recevra pas de correctif, car il n'est plus sous support.

Pour visualiser la version actuelle d'OpenSSL installée sur une machine, vous pouvez utiliser la commande suivante :

openssl version

Le CERT-FR a également émis un bulletin de sécurité au sujet de cette vulnérabilité OpenSSL.

Source

The post Cette faille dans OpenSSL permet de provoquer un déni de service à distance first appeared on IT-Connect.