📅 8 Juin 2026
OpenSSL pour IBM i est affecté par cinq vulnérabilités touchant plusieurs mécanismes internes liés au traitement des certificats X.509, aux messages CMS (Cryptographic Message Syntax) et à l’authentification DANE.
– Parmi ces vulnérabilités, l’une se distingue très nettement : une écriture hors limites de mémoire (Out-of-Bounds Write) notée CVSS 9.8, susceptible d’entraîner une corruption mémoire et, dans certains scénarios, une exécution de code arbitraire.
Les vulnérabilités recensées concernent plusieurs composants d’OpenSSL :
- la conversion de données X.509 vers un format hexadécimal ;
- le traitement des certificats de révocation (Delta CRL) ;
- le déchiffrement des messages CMS (EnvelopedData) ;
- l’authentification des serveurs via DANE TLSA.
Cette diversité montre que plusieurs mécanismes cryptographiques sont concernés. Toutefois, une vulnérabilité concentre l’essentiel du risque opérationnel.
💥 LA Vulnérabilité
🔥 CVE-2026-31789 – Écriture hors limites (Heap Buffer Overflow) lors de la conversion d’un OCTET STRING (CVSS 9.8)
Cette vulnérabilité représente le point le plus critique de ce bulletin.
Lors de la conversion d’un OCTET STRING de très grande taille vers une chaîne hexadécimale, OpenSSL peut calculer incorrectement la taille du tampon mémoire nécessaire sur les plateformes 32 bits.
Cette erreur provoque une écriture hors limites (heap buffer overflow) pouvant corrompre la mémoire du processus.
Le scénario d’exploitation repose sur la fourniture d’un certificat X.509 spécialement conçu contenant un champ extrêmement volumineux (par exemple Subject Key Identifier (SKID) ou Authority Key Identifier (AKID)), traité par une application qui affiche ou journalise ces informations.
– Les conséquences potentielles sont particulièrement importantes :
- corruption de la mémoire du processus ;
- arrêt brutal de l’application ;
- comportement imprévisible ;
- possibilité d’exécution de code arbitraire dans certains scénarios.
Le score CVSS 9.8 reflète un niveau de criticité extrêmement élevé, même si l’exploitation reste limitée aux plateformes 32 bits et nécessite un certificat spécialement conçu.
🔓 Vue d’ensemble des autres vulnérabilités
⚠️ CVE-2026-28387 – Use-After-Free dans l’authentification DANE TLSA (CVSS 8.1)
Cette vulnérabilité affecte les clients OpenSSL utilisant l’authentification serveur basée sur DANE TLSA.
Dans certaines configurations peu courantes combinant plusieurs types d’enregistrements TLSA, OpenSSL peut libérer deux fois la même zone mémoire ou continuer à utiliser une mémoire déjà libérée (Use-After-Free).
Selon le contexte, cela peut provoquer :
- un crash de l’application ;
- une corruption mémoire ;
- une exécution potentielle de code arbitraire.
La plupart des déploiements SMTP classiques utilisant DANE ne sont toutefois pas concernés.
⚠️ CVE-2026-28388 – Déréférencement de pointeur NULL lors du traitement des Delta CRL (CVSS 7.5)
Cette vulnérabilité concerne la vérification des certificats X.509 utilisant les Delta CRL.
Lorsqu’un fichier Delta CRL malformé ne contient pas l’extension CRL Number, OpenSSL peut tenter d’accéder à un pointeur NULL.
L’exploitation entraîne un arrêt brutal de l’application (Déni de service) mais ne permet ni l’exécution de code ni la divulgation d’informations.
⚠️ CVE-2026-28389 – NULL Pointer Dereference dans CMS KeyAgreeRecipientInfo (CVSS 7.5)
Lors du traitement d’un message CMS EnvelopedData spécialement conçu utilisant KeyAgreeRecipientInfo, OpenSSL ne vérifie pas la présence de certains paramètres optionnels avant leur utilisation.
Une application traitant des données CMS provenant d’une source non fiable peut alors subir un crash avant toute opération cryptographique.
Les applications utilisant CMS_decrypt() sur des données non maîtrisées sont particulièrement concernées.
⚠️ CVE-2026-28390 – NULL Pointer Dereference dans CMS KeyTransportRecipientInfo (CVSS 7.5)
Cette vulnérabilité concerne les messages CMS utilisant KeyTransportRecipientInfo avec RSA-OAEP.
L’absence de vérification de certains paramètres optionnels peut conduire à un déréférencement de pointeur NULL et provoquer un déni de service.
L’impact reste limité à l’arrêt de l’application.
🛠️ Mesures de correction et recommandations
La priorité absolue concerne la vulnérabilité CVE-2026-31789, qui présente le score CVSS le plus élevé de ce bulletin.
Dans le cadre global d’IBM i, il est recommandé de :
✔️ Appliquer le PTF correspondant à votre version d’IBM i.
✔️ Mettre à jour OpenSSL vers une version corrigée dès qu’elle est disponible.
✔️ Éviter le traitement de certificats X.509 provenant de sources non fiables.
✔️ Vérifier les applications utilisant CMS_decrypt() sur des données externes.
✔️ Contrôler les déploiements utilisant l’authentification DANE TLSA.
✔️ Surveiller les journaux applicatifs afin de détecter d’éventuels plantages liés au traitement des certificats ou des messages CMS.
L’application rapide des correctifs IBM ainsi que la mise à jour d’OpenSSL sont fortement recommandées afin de réduire les risques d’exploitation de l’ensemble de ces vulnérabilités.
🔗 Lien officiel IBM Security Bulletin 🔗
⚡Agissez maintenant pour sécuriser votre environnement IT avec STR-iCT !
🔐 Restez informé sur les dernières alertes cybersécurité !
