Vulnérabilité dans OpenSSL (27 juin 2024)

Risques

Atteinte à la confidentialité des données
Déni de service

Systèmes affectés

OpenSSL versions 1.0.2.x antérieures à 1.0.2zk
OpenSSL versions 1.1.1.x antérieures à 1.1.1za
OpenSSL versions 3.0.x antérieures à 3.0.15
OpenSSL versions 3.1.x antérieures à 3.1.7
OpenSSL versions 3.2.x antérieures à 3.2.3
OpenSSL versions 3.3.x antérieures à 3.3.2

L'éditeur indique que les modules FIPS des versions 3.3, 3.2, 3.1 et 3.0 ne sont pas affectés par cette vulnérabilité.

Résumé

Une vulnérabilité a été découverte dans OpenSSL. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données et un déni de service.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité OpenSSL 20240627 du 27 juin 2024

https://www.openssl.org/news/secadv/20240627.txt

Référence CVE CVE-2024-5535

https://www.cve.org/CVERecord?id=CVE-2024-5535

Avis de sécurité