OpenSSL

Selon JFrog Security Research (research.jfrog.com), une nouvelle vulnérabilité OpenSSL, CVE-2025-15467, a été dévoilée: un débordement de pile susceptible d’entraîner une exécution de code à distance (RCE). Bien qu’aucun score CVSS officiel ne soit encore publié, OpenSSL la classe élevée, et JFrog estime qu’elle pourrait être évaluée critique par le NVD. ⚠️ La faille survient lors du traitement de CMS AuthEnvelopedData utilisant des chiffrements AEAD (ex. AES-GCM): l’IV extrait des paramètres ASN.1 peut être surdimensionné. OpenSSL le copie alors dans un tampon de pile de taille fixe sans vérifier la longueur (au-delà de EVP_MAX_IV_LENGTH), provoquant un débordement avant toute authentification. Un attaquant n’a donc pas besoin de clés valides: un message CMS spécialement conçu avec un IV trop grand suffit à causer un crash ou potentiellement une RCE. ...

Selon OpenSSL (Security Advisory du 30 septembre 2025), trois vulnérabilités ont été divulguées avec leurs correctifs et versions affectées. L’avis couvre des impacts potentiels de déni de service, corruption mémoire et récupération de clé privée, ainsi que les versions corrigées recommandées. • CVE-2025-9230 — Lecture/écriture hors limites dans le déballage RFC 3211 KEK (CMS PWRI) Sévérité: Modérée. Résumé: Une application qui tente de déchiffrer des messages CMS chiffrés avec un mot de passe (PWRI) peut provoquer une lecture et écriture hors limites, causant crash (DoS) ou corruption mémoire pouvant aller jusqu’à l’exécution de code. Contexte: L’exploitation est jugée probable faible et PWRI est très rarement utilisé. Portée: OpenSSL 3.5, 3.4, 3.3, 3.2, 3.0, 1.1.1, 1.0.2 vulnérables. Les modules FIPS (3.5 à 3.0) ne sont pas affectés (CMS hors périmètre FIPS). Versions corrigées: 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18; 1.1.1zd et 1.0.2zm (clients support premium). Crédits: Signalé par Stanislav Fort (Aisle Research); correctif par Stanislav Fort et Viktor Dukhovni. • CVE-2025-9231 — Canal auxiliaire temporel dans l’algorithme SM2 sur ARM 64 bits 🕒 ...