OpenSSL 3.0 - Vulnérabilités CVE-2022-3602 et CVE-2022-3786 et récapitulatif des mesures à prendre

regentag · 2022-11-02T16:17:45+09:00

Les vulnérabilités annoncées cette fois sont liées à un débordement de tampon sur l’adresse e-mail X.509 Elles peuvent se produire lorsqu’un certificat contient une adresse e-mail encodée en punycode, spécialement manipulée pour déclencher un débordement de tampon Lors de l’annonce initiale, elles avaient été classées Critical, mais le niveau a été abaissé à High le 1er novembre Le niveau de risque a été réévalué car il a été confirmé qu’il s’agit davantage d’une vulnérabilité de type DoS (déni de service) que d’une RCE (Remote Command Execution, exécution de code à distance)

(asecurity.dev)

8 points par regentag 2022-11-02 | 3 commentaires | Partager sur WhatsApp

Les vulnérabilités annoncées cette fois sont liées à un débordement de tampon sur l’adresse e-mail X.509
Elles peuvent se produire lorsqu’un certificat contient une adresse e-mail encodée en punycode, spécialement manipulée pour déclencher un débordement de tampon
Lors de l’annonce initiale, elles avaient été classées Critical, mais le niveau a été abaissé à High le 1er novembre
- Le niveau de risque a été réévalué car il a été confirmé qu’il s’agit davantage d’une vulnérabilité de type DoS (déni de service) que d’une RCE (Remote Command Execution, exécution de code à distance)

3 commentaires

richardk 2022-11-03

Les services AWS ne sont pas affectés, et aucune action n'est requise de la part des clients.

https://aws.amazon.com/security/security-bulletins/AWS-2022-008/

alus20x 2022-11-02

Merci pour ce résumé !
À la 4e ligne, l’abréviation de « exécution à distance » est RCE, mais il y a une coquille : c’est écrit REC.

regentag 2022-11-02

Sortie d’OpenSSL 3.0.7 corrigeant CVE-2022-3786 / CVE-2022-3602

OpenSSL 3.0 - Vulnérabilités CVE-2022-3602 et CVE-2022-3786 et récapitulatif des mesures à prendre

À lire aussi

3 commentaires