OpenSSL - CVE-2022-3786
Date de publication :
Date de mise à jour :
Une vérification incorrecte des limites de mémoire tampon lors de la vérification du certificat X.509 peut provoquer un débordement de mémoire tampon dans OpenSSL. Cette vulnérabilité permet à un attaquant, en créant une adresse électronique spécialement forgée dans un certificat, de provoquer un déni de service.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Déni de service
Exploitation
La vulnérabilité exploitée est du type
CWE-121: Stack-based Buffer Overflow
Détails sur l’exploitation
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Systèmes ou composants affectés
OpenSSL
versions 3.0.0 à 3.0.6.
IBM Db2 Big SQL
IBM Big SQL 7.2 on Cloud Pak for Data 4.0
IBM Big SQL 7.3 on Cloud Pak for Data 4.5
IBM Big SQL 7.4.0 on Cloud Pak for Data 4.6.0
Solutions ou recommandations
Mettre à jour OpenSSL aux versions 3.0.7 et suivantes.
Mettre à niveau ou mettre à jour IBM Db2 Big SQL vers la version 7.4.2 ou ultérieure.
Des informations supplémentaires sont disponibles ici.