Une vulnérabilité de haute gravité corrigée dans OpenSSL
Une nouvelle mise à jour d'OpenSSL a été publiée pour corriger une vulnérabilité de déni de service (DoS) de haute gravité liée à l'analyse des certificats.
La faille, connue sous le nom de CVE-2022-0778, affecte les versions 1.0.2, 1.1.1 et 3.0 d'OpenSSL.
"La fonction BN_mod_sqrt(), qui calcule une racine carrée modulaire, contient un bug qui peut la faire tourner en boucle pour des modules non primaires", explique le projet OpenSSL dans son avis. "En interne, cette fonction est utilisée lors de l'analyse des certificats qui contiennent des clés publiques de courbe elliptique sous forme comprimée ou des paramètres de courbe elliptique explicites avec un point de base codé sous forme comprimée."
"Il est possible de déclencher la boucle infinie en fabriquant un certificat qui a des paramètres de courbe explicite invalides", lit-on dans l'avis.
Il est très important d’appliquer la mise à jour afin de se protéger des éventuelles attaques.