CVE-2025-15467

Vulnérabilité critique dans OpenSSL : Risques et mesures à prendre

Une faille de sécurité majeure, identifiée comme CVE-2025-15467, a été découverte dans la bibliothèque OpenSSL. Elle concerne la gestion des données cryptographiques sécurisées (CMS) utilisant des chiffrements de type AEAD (Authenticated Encryption with Associated Data), tels que AES-GCM. Le problème réside dans une gestion incorrecte de la taille du vecteur d’initialisation (IV) lors de l’analyse de ces structures CMS.

Points clés :

• La vulnérabilité est un dépassement de tampon dans la pile (stack buffer overflow).
• Elle affecte le traitement des données CMS utilisant des chiffrements AEAD.
• L’IV utilisé peut dépasser la taille du tampon alloué sur la pile.
• L’exploitation ne nécessite pas de clé valide, car le défaut survient avant toute vérification d’authentification.

Vulnérabilité :

• CVE-2025-15467 : Dépassement de tampon dans la pile lors de l’analyse CMS AuthEnvelopedData dans OpenSSL.

Risques pour les utilisateurs :

• Déni de service (DoS) : Un attaquant peut provoquer un crash du système en envoyant un message CMS malveillant avec un IV trop long.
• Exécution de code à distance : Dans certains cas, cette vulnérabilité pourrait permettre à un attaquant d’exécuter du code arbitraire sur le système affecté.

Versions affectées :

• OpenSSL versions 3.0 à 3.6.

Recommandations :

Il est impératif de mettre à jour OpenSSL vers une version corrigée dès que possible pour atténuer ces risques. Les organisations utilisant des versions vulnérables devraient prioriser l’application de correctifs de sécurité.

Source