CVE-2025-68121

plus petit que 1 minute de lecture

Mis à jour : February 05, 2026

Failles de sécurité dans le package crypto/tls de Go

Une vulnérabilité critique, identifiée comme CVE-2025-68121, a été découverte dans le package crypto/tls du langage de programmation Go. Les versions 1.25.6 et 1.24.12 du langage ont été corrigées pour remédier à ces failles.

Points clés :

La fonction Config.Clone permettait la fuite de clés de tickets de session générées automatiquement.
Une gestion inadéquate de la reprise de sessions TLS côté serveur a été constatée.

Vulnérabilités :

Fuite de clés de session : La fonction Config.Clone permettait à des attaquants potentiels de reprendre des sessions non autorisées, même avec des configurations différentes.
Reprise de session avec certificat expiré : Le système vérifiait uniquement l’expiration du certificat feuille pour autoriser la reprise de session, ignorant l’état des certificats intermédiaires ou racine de la chaîne complète. Cela permettait des reprises de session même si un certificat essentiel à la chaîne avait expiré.

Recommandations :

Mettre à jour le langage de programmation Go vers les versions 1.25.6 ou 1.24.12, ou toute version ultérieure qui intègre ces correctifs.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-68121

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)