Avis du CERT-FR

Objet: Vulnérabilité dans OpenSSL pour MIPS

Gestion du document

Référence	CERTFR-2022-AVI-093
Titre	Vulnérabilité dans OpenSSL pour MIPS
Date de la première version	31 janvier 2022
Date de la dernière version	31 janvier 2022
Source(s)	Bulletin de sécurité OpenSSL du 28 janvier 2022
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

Atteinte à la confidentialité des données

Systèmes affectés

OpenSSL versions 3.0.x antérieures à 3.0.1
OpenSSL versions 1.1.1 antérieures à 1.1.1m
OpenSSL versions 1.0.2 antérieures au correctif 6fc1aaaf3 réservé au clients du support Premium

OpenSSL version 1.1.0 n'est plus supporté par l'éditeur, il ne fournira pas de correctif pour cette vulnérabilité et recommande la mise à jour vers les versions OpenSSL 3.0 ou 1.1.1.

La vulnérabilité ne concerne que les plateformes MIPS.

Résumé

Une vulnérabilité a été découverte dans OpenSSL. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité OpenSSL du 28 janvier 2022
https://www.openssl.org/news/secadv/20220128.txt
Référence CVE CVE-2021-4160
https://www.cve.org/CVERecord?id=CVE-2021-4160

Gestion détaillée du document

le 31 janvier 2022: Version initiale