Risque
- Contournement de la politique de sécurité
Systèmes affectés
- OpenSSL versions 3.1 antérieures à 3.1.1
- OpenSSL versions 3.0 antérieures à 3.0.9
- OpenSSL versions 1.1.1 antérieures à 1.1.1u
- OpenSSL versions 1.0.2 antérieures à 1.0.2zh (client du support premium uniquement)
L'éditeur considère que cette vulnérabilité est de faible gravité, ainsi le correctif de sécurité sera déployé pour chacune des versions lors de la prochaine mise à jour.
Résumé
De multiples vulnérabilités ont été découvertes dans OpenSSL. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité OpenSSL du 28 mars 2023 https://www.openssl.org/news/secadv/20230328.txt
- Référence CVE CVE-2023-0465 https://www.cve.org/CVERecord?id=CVE-2023-0465
- Référence CVE CVE-2023-0466 https://www.cve.org/CVERecord?id=CVE-2023-0466