Bonjour, ce poste est la deuxième partie du bulletin de Sécurité suite à la première partie du bulletin de Sécurité sur Node.js (https://i.gayte.it/alerte/alerte-securite-ibm-i-node-js-1ere-partie-10-06-2024/). On se retrouve donc pour la seconde partie sur les failles de OpenSSL. Pour rappel la bibliothèque OpenSSL est une implantation libre des protocoles SSL et TSL qui donne un accès à une bibliothèque de fonctionnalité écrite en C (permettant de réaliser des applications) ou d’exécuter des petits programmes en ligne de commande (calcul d’empreinte, chiffrement, signature):
Elle comporte au total 4 possibles déni de service que vous pouvez retrouver ici :
– L’un de ces dénis de service peut être causé par une faille dans le traitement des clés publiques RSA par la fonction EVP_PKEY_public_check(). En persuadant une victime d’utiliser une clé publique RSA spécialement conçue pour la vérification, un attaquant distant peut exploiter cette vulnérabilité pour provoquer de longs délais, et aboutir à un déni de service. Score CVSS 3.1.
– Un déni de service peut être provoqué par une mauvaise validation des entrées. En persuadant une victime d’ouvrir un fichier PKCS12 spécialement conçu, un attaquant distant peut exploiter cette vulnérabilité pour provoquer un plantage de l’application. Score CVSS 3.1.
– Un autre déni de service peut faire suite à une faille lors de l’utilisation de la fonction DH_generate_key() pour générer une clé DH X9.42. En envoyant une requête spécialement conçue, un attaquant distant peut exploiter cette vulnérabilité pour provoquer un déni de service. Score CVSS 3.7.
– Enfin il peut également être causé par une faille dans l’implémentation du MAC POLY1305 (code d’authentification de message). En envoyant une requête spécialement conçue, un attaquant distant peut exploiter cette vulnérabilité pour provoquer un déni de service. Score CVSS 5.9.
Afin de corriger les 9 failles évoqués il vous suffit de mettre à jour Node.js (voir détail dans la rubrique Rémédiation/Fixes qui suit).
C’est tout pour ce bulletin de Sécurité nous vous rappelons que vous pouvez retrouver les détails de toutes ces failles sur le site officiel du support IBM ici même : (https://lnkd.in/ebSa48rb)
