Les responsables d’OpenSSL ont fourni des correctifs pour résoudre une faille de sécurité de haute gravité dans sa bibliothèque de logiciels qui pourrait conduire à une condition de déni de service (DoS) lors de l’analyse des certificats.

Suivi en tant que CVE-2022-0778 (score CVSS : 7,5), le problème provient de l’analyse d’un certificat mal formé avec des paramètres de courbe elliptique explicites non valides, ce qui entraîne ce qu’on appelle une « boucle infinie ». La faille réside dans une fonction appelée BN_mod_sqrt() qui est utilisée pour calculer la racine carrée modulaire.

« Étant donné que l’analyse du certificat a lieu avant la vérification de la signature du certificat, tout processus qui analyse un certificat fourni en externe peut donc faire l’objet d’une attaque par déni de service », a déclaré OpenSSL dans un avis publié le 15 mars 2022.

« La boucle infinie peut également être atteinte lors de l’analyse de clés privées conçues car elles peuvent contenir des paramètres de courbe elliptique explicites. »

Bien qu’il n’y ait aucune preuve que la vulnérabilité ait été exploitée dans la nature, il existe quelques scénarios où elle pourrait être militarisée, notamment lorsque des clients (ou serveurs) TLS accèdent à un certificat malveillant à partir d’un serveur (ou client) malveillant, ou lorsque le certificat les autorités analysent les demandes de certification des abonnés.

La vulnérabilité affecte les versions OpenSSL 1.0.2, 1.1.1 et 3.0, les propriétaires du projet ont corrigé la faille avec la publication des versions 1.0.2zd (pour les clients de support premium), 1.1.1n et 3.0.2. OpenSSL 1.1.0, bien qu’également affecté, ne recevra pas de correctif car il a atteint sa fin de vie.

Le chercheur en sécurité de Google Project Zero, Tavis Ormandy, est crédité d’avoir signalé la faille le 24 février 2022. Le correctif a été développé par David Benjamin de Google et Tomáš Mráz d’OpenSSL.

CVE-2022-0778 est également la deuxième vulnérabilité OpenSSL résolue depuis le début de l’année. Le 28 janvier 2022, les mainteneurs ont corrigé une faille de gravité modérée (CVE-2021-4160, score CVSS : 5,9) affectant la procédure de mise au carré MIPS32 et MIPS64 de la bibliothèque.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *