SM2

Selon OpenSSL (Security Advisory du 30 septembre 2025), trois vulnérabilités ont été divulguées avec leurs correctifs et versions affectées. L’avis couvre des impacts potentiels de déni de service, corruption mémoire et récupération de clé privée, ainsi que les versions corrigées recommandées. • CVE-2025-9230 — Lecture/écriture hors limites dans le déballage RFC 3211 KEK (CMS PWRI) Sévérité: Modérée. Résumé: Une application qui tente de déchiffrer des messages CMS chiffrés avec un mot de passe (PWRI) peut provoquer une lecture et écriture hors limites, causant crash (DoS) ou corruption mémoire pouvant aller jusqu’à l’exécution de code. Contexte: L’exploitation est jugée probable faible et PWRI est très rarement utilisé. Portée: OpenSSL 3.5, 3.4, 3.3, 3.2, 3.0, 1.1.1, 1.0.2 vulnérables. Les modules FIPS (3.5 à 3.0) ne sont pas affectés (CMS hors périmètre FIPS). Versions corrigées: 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18; 1.1.1zd et 1.0.2zm (clients support premium). Crédits: Signalé par Stanislav Fort (Aisle Research); correctif par Stanislav Fort et Viktor Dukhovni. • CVE-2025-9231 — Canal auxiliaire temporel dans l’algorithme SM2 sur ARM 64 bits 🕒 ...