Selon OpenSSL (Security Advisory du 30 septembre 2025), trois vulnĂ©rabilitĂ©s ont Ă©tĂ© divulguĂ©es avec leurs correctifs et versions affectĂ©es. Lâavis couvre des impacts potentiels de dĂ©ni de service, corruption mĂ©moire et rĂ©cupĂ©ration de clĂ© privĂ©e, ainsi que les versions corrigĂ©es recommandĂ©es.
âą CVE-2025-9230 â Lecture/Ă©criture hors limites dans le dĂ©ballage RFC 3211 KEK (CMS PWRI)
SĂ©vĂ©ritĂ©: ModĂ©rĂ©e. RĂ©sumĂ©: Une application qui tente de dĂ©chiffrer des messages CMS chiffrĂ©s avec un mot de passe (PWRI) peut provoquer une lecture et Ă©criture hors limites, causant crash (DoS) ou corruption mĂ©moire pouvant aller jusquâĂ lâexĂ©cution de code. Contexte: Lâexploitation est jugĂ©e probable faible et PWRI est trĂšs rarement utilisĂ©. PortĂ©e: OpenSSL 3.5, 3.4, 3.3, 3.2, 3.0, 1.1.1, 1.0.2 vulnĂ©rables. Les modules FIPS (3.5 Ă 3.0) ne sont pas affectĂ©s (CMS hors pĂ©rimĂštre FIPS). Versions corrigĂ©es: 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18; 1.1.1zd et 1.0.2zm (clients support premium). CrĂ©dits: SignalĂ© par Stanislav Fort (Aisle Research); correctif par Stanislav Fort et Viktor Dukhovni. âą CVE-2025-9231 â Canal auxiliaire temporel dans lâalgorithme SM2 sur ARM 64 bits đ
...