Selon OpenSSL (Security Advisory du 30 septembre 2025), trois vulnérabilités ont été divulguées avec leurs correctifs et versions affectées. L’avis couvre des impacts potentiels de déni de service, corruption mémoire et récupération de clé privée, ainsi que les versions corrigées recommandées.

• CVE-2025-9230 — Lecture/écriture hors limites dans le déballage RFC 3211 KEK (CMS PWRI)

  • Sévérité: Modérée.
  • Résumé: Une application qui tente de déchiffrer des messages CMS chiffrés avec un mot de passe (PWRI) peut provoquer une lecture et écriture hors limites, causant crash (DoS) ou corruption mémoire pouvant aller jusqu’à l’exécution de code.
  • Contexte: L’exploitation est jugée probable faible et PWRI est très rarement utilisé.
  • Portée: OpenSSL 3.5, 3.4, 3.3, 3.2, 3.0, 1.1.1, 1.0.2 vulnérables. Les modules FIPS (3.5 à 3.0) ne sont pas affectés (CMS hors périmètre FIPS).
  • Versions corrigées: 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18; 1.1.1zd et 1.0.2zm (clients support premium).
  • Crédits: Signalé par Stanislav Fort (Aisle Research); correctif par Stanislav Fort et Viktor Dukhovni.

• CVE-2025-9231 — Canal auxiliaire temporel dans l’algorithme SM2 sur ARM 64 bits 🕒

  • Sévérité: Modérée.
  • Résumé: Une fuite temporelle dans les signatures SM2 sur ARM64 pourrait permettre la récupération de la clé privée via mesures de temps. OpenSSL ne prend pas directement en charge des certificats SM2 en TLS, mais un provider personnalisé pourrait l’activer, rendant l’attaque plausible.
  • Portée: OpenSSL 3.5, 3.4, 3.3, 3.2 vulnérables. Non vulnérables: 3.1, 3.0, 1.1.1, 1.0.2. Les modules FIPS ne sont pas concernés (SM2 non approuvé).
  • Versions corrigées: 3.5.4, 3.4.3, 3.3.5, 3.2.6.
  • Crédits: Signalé et corrigé par Stanislav Fort (Aisle Research).

• CVE-2025-9232 — Lecture hors limites dans le client HTTP (gestion de l’env. no_proxy avec hôte IPv6)

  • Sévérité: Faible.
  • Résumé: L’usage des API client HTTP d’OpenSSL peut déclencher une lecture hors limites si la variable d’environnement « no_proxy » est définie et que l’hôte de l’URL est une adresse IPv6, pouvant provoquer un crash/DoS.
  • Conditions: Nécessite une URL contrôlée par un attaquant et un no_proxy défini par l’utilisateur.
  • Portée: Vulnérabilité introduite dans les patchs 3.0.16, 3.1.8, 3.2.4, 3.3.3, 3.4.0, 3.5.0. Affecte 3.5, 3.4, 3.3, 3.2, 3.0. 1.1.1 et 1.0.2 non affectées. Les modules FIPS ne sont pas concernés (client HTTP hors périmètre FIPS).
  • Versions corrigées: 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18.
  • Crédits: Signalé et corrigé par Stanislav Fort (Aisle Research).

• Produits/versions concernées et correctifs

  • Branches affectées selon les CVE: 3.5, 3.4, 3.3, 3.2, 3.0, et pour CVE-2025-9230 également 1.1.1, 1.0.2.
  • Correctifs disponibles: 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18; ainsi que 1.1.1zd et 1.0.2zm pour clients support premium.
  • Les modules FIPS (3.5 à 3.0) ne sont impactés par aucune des trois failles.

IOCs et TTPs

  • Aucun indicateur de compromission (IOC) ni TTP mentionnés.

Type d’article: Avis de sécurité / patch de sécurité visant à informer des failles, de leur impact et des versions corrigées.

🔗 Source originale : https://openssl-library.org/news/secadv/20250930.txt

🖴 Archive : https://web.archive.org/web/20251001085000/https://openssl-library.org/news/secadv/20250930.txt