OpenSSL a publié une nouvelle version, 3.0.7, qui corrige une vulnérabilité critique des versions openSSL 3.0.0 à 3.0.6. Les utilisateurs enregistrés peuvent télécharger la dernière version d'openSSL depuis leur compte privé.
La vulnérabilité est un débordement de tampon dans la vérification des certificats X.509, à savoir le code utilisé pour valider les certificats TLS. La vulnérabilité pourrait potentiellement être exploitée pour permettre l'exécution de code à distance via un certificat TLS malveillant ; cependant, elle nécessite que le certificat TLS malveillant soit signé par une AC de confiance.
Comme la vérification du certificat se fait généralement côté client, cette vulnérabilité affecte principalement les clients et non les serveurs. Il existe un cas où les serveurs pourraient être exploités via TLS Client Authentication, qui peut contourner les exigences de signature de l'AC, car les certificats client ne sont généralement pas tenus d'être signés par une AC de confiance. L'authentification client étant rare, et la plupart des serveurs ne l'ayant pas activée, le risque d'exploitation côté serveur devrait être faible.
Les attaquants pourraient exploiter cette vulnérabilité en redirigeant les clients vers un serveur TLS malveillant qui utilise un certificat spécialement conçu pour déclencher la vulnérabilité.
Versions affectées
La vulnérabilité affecte uniquement les versions OpenSSL 3.0.0 à 3.0.6, le correctif étant livré dans la version 3.0.7. Comme OpenSSL 3.0.0 est sorti en septembre 2021, il est beaucoup moins répandu que les versions précédentes. Étant donné la date de sortie très récente, il est peu probable que des équipements plus anciens avec une version d'OpenSSL codée en dur soient vulnérables.