Opération de rançongiciel REvil supprimée par un justicier inconnu

OpenSSL v3.0.4, la dernière version de la bibliothèque open source pour les applications qui sécurisent les communications, semble contenir un bogue très grave qui pourrait permettre aux vulnérabilités d'exécuter du code malveillant à distance.

Le problème est qu'il n'y a pas de preuve de concept, ce qui signifie qu'il ne peut pas encore être considéré comme une vulnérabilité à part entière, et la question reste de savoir si cela se produira un jour.

Les rapports affirment que cette version d'OpenSSL présente une vulnérabilité de corruption de mémoire sur les processeurs avec l'extension AVX512 (Advanced Vector Extensions 512). La version a été publiée pour corriger une ancienne vulnérabilité d'injection de commande (CVE-2022-2068) qui n'a pas réussi à résoudre un problème encore plus ancien : CVE-2022-1292.

Vulnérabilité de gravité élevée ou non ?

Sur GitHub, l'explication est que lorsque ossl_rsaz_mod_exp_avx512_x2() appelle bn_reduce_once_in_place(), l'appel inclut la valeur factor_size, qui est supposée être le nombre de mots à traiter.

Cependant, le code ci-dessus envoyait une taille de bit, ce qui pouvait parfois provoquer un débordement du tampon de tas. Étant donné que le problème peut être créé via une poignée de main TLS, il existe une possibilité d'abus à l'extrémité distante.

Alors que certains chercheurs pensent que cela justifie un score de gravité de 10/10, tout le monde n'est pas d'accord.

Selon le chercheur en sécurité Guido Vranken (ouvre dans un nouvel onglet), cette version "est sensible à la corruption de mémoire à distance qu'un attaquant peut déclencher de manière triviale".

Vranken a ajouté que l'arborescence 1.1.1 de la bibliothèque est toujours utilisée, plutôt que l'arborescence v3, et que libssl a été forké dans LibreSSL et BoringSSL, ce qui pourrait rendre les choses plus compliquées pour les attaquants potentiels.

De plus, la faille n'affecte que les puces x64 avec AVX512, ce qui rend la surface d'attaque encore plus petite.

En revanche, Tomáš Mráz, développeur de logiciels à la Fondation OpenSSL, ne pense pas que cette faille constitue une faille de sécurité.

"Je ne pense pas que ce soit une faille de sécurité", a-t-il déclaré. "C'est juste un bogue sérieux [la] version 3.0.4 ne peut pas être utilisée sur les machines compatibles AVX512."

La faille a depuis été corrigée, selon The Register, bien qu'OpenSSL 3.0.5 n'ait pas encore été publié.

  • Protégez vos installations numériques avec les meilleurs programmes antivirus du marché

Via : Le registre (Ouvre dans un nouvel onglet)

Share