Risques
- Atteinte à la confidentialité des données
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- OpenSSL versions 1.0.2 antérieures à 1.0.2zp
- OpenSSL versions 1.1.1 antérieures à 1.1.1zg
- OpenSSL versions 3.0.x antérieures à 3.0.20
- OpenSSL versions 3.3.x antérieures à 3.3.7
- OpenSSL versions 3.4.x antérieures à 3.4.5
- OpenSSL versions 3.5.x antérieures à 3.5.6
- OpenSSL versions 3.6.x antérieures à 3.6.2
L'éditeur indique que les modules FIPS des versions 3.6, 3.5, 3.4, 3.3, 3.1 et 3.0 sont affectés par la vulnérabilité CVE-2026-31790 et les versions 3.6 par la vulnérabilité CVE-2026-31790, sur systèmes x86-64 avec les instructions AVX-512 er VAES activées.
Résumé
De multiples vulnérabilités ont été découvertes dans OpenSSL. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité OpenSSL 20260407 du 07 avril 2026 https://openssl-library.org/news/secadv/20260407.txt
- Référence CVE CVE-2026-28386 https://www.cve.org/CVERecord?id=CVE-2026-28386
- Référence CVE CVE-2026-28387 https://www.cve.org/CVERecord?id=CVE-2026-28387
- Référence CVE CVE-2026-28388 https://www.cve.org/CVERecord?id=CVE-2026-28388
- Référence CVE CVE-2026-28389 https://www.cve.org/CVERecord?id=CVE-2026-28389
- Référence CVE CVE-2026-28390 https://www.cve.org/CVERecord?id=CVE-2026-28390
- Référence CVE CVE-2026-31789 https://www.cve.org/CVERecord?id=CVE-2026-31789
- Référence CVE CVE-2026-31790 https://www.cve.org/CVERecord?id=CVE-2026-31790
