Origine : bjCSIRT
Numéro : 2026/ALERTE/049
APERÇU :
Une vulnérabilité affectant OpenSSL permettrait à un acteur malveillant non authentifié de provoquer un plantage applicatif, une corruption de tas mémoire ou, dans des conditions particulières, une exécution de code arbitraire à distance sur les systèmes affectés.
DESCRIPTION
OpenSSL est une bibliothèque cryptographique open source largement déployée, fournissant des implémentations des protocoles TLS/SSL ainsi que des primitives cryptographiques utilisées dans un grand nombre d’applications, de serveurs web et d’équipements réseau.
Cette bibliothèque est affectée par une vulnérabilité libellée CVE-2026-45447, résultant d’une gestion incorrecte de la mémoire lors de la vérification de signatures numériques dans des messages PKCS#7 ou S/MIME. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié de soumettre, via tout canal réseau véhiculant du contenu PKCS#7 ou S/MIME, un message spécialement conçu pouvant conduire à un plantage du processus, une corruption du tas mémoire ou, selon le comportement de l’allocateur mémoire et les modalités d’utilisation de la mémoire par l’application, à une exécution de code arbitraire à distance.
Elle est classée élevée avec un score de sévérité de 8.8 selon le CVSS V3.1.
IMPACT
- Exécution de code arbitraire à distance ;
- Déni de service (DoS)
- Atteinte à la confidentialité des données ;
- Atteinte à l’intégrité du système.
SYSTEMES AFFECTÉS
- La version 4.0.0 de OpenSSL ;
- Les versions 3.6.x antérieures à 3.6.3 de OpenSSL ;
- Les versions 3.5.x antérieures à 3.5.7 de OpenSSL ;
- Les versions 3.4.x antérieures à 3.4.6 de OpenSSL ;
- Les versions 3.0.x antérieures à 3.0.21 de OpenSSL ;
- Les versions 1.1.1 antérieures à 1.1.1zh de OpenSSL ;
- Les versions 1.0.2 antérieures à 1.0.2zq de OpenSSL.
MESURES À PRENDRE :
Mettre à jour OpenSSL vers sa dernière version stable selon la branche de déploiement active.
RÉFÉRENCES :