10 juin 2024 Alerte Sécurité IBM i :  OpenSSL – Deuxième Partie (10/06/2024)

Bonjour à toutes et à tous !

👉 Ce poste est la deuxième partie du bulletin de sécurité sur OpenSSL, suite à notre première partie sur Node.js (📎 lien vers la première partie ici). Aujourd’hui, nous nous concentrons sur les failles découvertes dans la bibliothèque OpenSSL, largement utilisée pour la gestion des connexions SSL et TLS.

🔍 Résumé des vulnérabilités

OpenSSL est affectée par 4 failles de déni de service (DoS). Découvrez chacune de ces vulnérabilités ci-dessous :

🚨 CVE-2023-6237 – Dénis de service via la fonction EVP_PKEY_public_check()
🔹 Impact : Une mauvaise gestion des clés publiques RSA peut entraîner des délai excessifs et un déni de service.
🔹 Exploitation : Un attaquant distant peut convaincre une victime d’utiliser une clé publique RSA spécialement conçue.
🔹 Score CVSS : 3.1

🚨 CVE-2024-0727 – Dénis de service via mauvaise validation des entrées dans les fichiers PKCS12
🔹 Impact : Mauvaise validation des fichiers PKCS12 entraînant des plantages d’application.
🔹 Exploitation : Un attaquant distant peut inciter une victime à ouvrir un fichier PKCS12 malveillant.
🔹 Score CVSS : 3.1

🚨 CVE-2023-5678 – Dénis de service lors de l’utilisation de DH_generate_key()
🔹 Impact : Une faille dans la fonction de génération de clé DH X9.42 peut entraîner un déni de service.
🔹 Exploitation : Un attaquant distant envoie une requête spécialement conçue pour exploiter cette vulnérabilité.
🔹 Score CVSS : 3.7

🚨 CVE-2023-6129 – Dénis de service via une faille dans le MAC POLY1305
🔹 Impact : Un problème dans l’implémentation du MAC POLY1305 peut provoquer un déni de service.
🔹 Exploitation : Un attaquant distant peut envoyer une requête spécialement conçue pour provoquer la vulnérabilité.
🔹 Score CVSS : 5.9

🛠️ Comment corriger ces failles ?

✔️ Mettez à jour OpenSSL et Node.js pour résoudre ces vulnérabilités et appliquer les correctifs. (Voir la section Rémédiation/Fixes pour les détails sur les mises à jour spécifiques).

📌 Rappel : Vous pouvez consulter les détails complets de ces vulnérabilités sur le site officiel du support IBM ici : 🔗 Détails des Failles OpenSSL

⚡ Agissez maintenant pour sécuriser votre environnement IT avec STR-iCT !

🔐 Restez informé des dernières alertes cybersécurité ! 🚀

Posté dans

Dernières actualités

Alerte

Alerte Sécurité IBM i : Récupération Ethernet pour certains adaptateurs IBM i (12/03/2025)

12 mars 2025
En savoir plus
Alerte

Alerte Sécurité IBM i : Déni de service par contournement de base de données (12/02/2025)

25 février 2025
En savoir plus
Alerte

Alerte Sécurité IBM i : Elévation de privilèges (25/02/2025)

25 février 2025
En savoir plus
Alerte

Alerte Sécurité IBM i : Vulnérabilités sur Java SDK ! (11/02/2025)

11 février 2025
En savoir plus
Alerte

Alerte Sécurité IBM i : RDi XStream (27/01/2025)

27 janvier 2025
En savoir plus
Alerte

Alerte Sécurité IBM i : IBM PowerHA SystemMirror (13/01/2025)

13 janvier 2025
En savoir plus
Alerte

Alerte Sécurité IBM i : 2 failles critiques sur Rational Developer for i (RDi) !(10/12/2024)

10 décembre 2024
En savoir plus
Alerte

Alerte Sécurité IBM i : 4 failles sur IBM HTTP Server ! (09/12/2024)

09 décembre 2024
En savoir plus