CVE-2025-68121

plus petit que 1 minute de lecture

Mis à jour : February 06, 2026

Fugue de clés et résumption de sessions TLS dans le package crypto/tls de Go

Une faille de sécurité a été identifiée dans le package crypto/tls du langage de programmation Go, corrigée dans les versions 1.25.6 et 1.24.12.

Points Clés :

Fugue de clés de tickets de session : La fonction Config.Clone laissait échapper des clés de tickets de session générées automatiquement. Cela pouvait permettre une reprise de session non autorisée avec des configurations différentes.
Vérification incomplète de la résumption de session : Lors de la reprise de sessions TLS côté serveur, seule l’expiration du certificat “feuille” était vérifiée. L’expiration des certificats intermédiaires ou racines de la chaîne de certificats était négligée, permettant la reprise de sessions même si un certificat essentiel de la chaîne était expiré.

Vulnérabilité :

Recommandations :

Mettre à jour le langage Go vers les versions 1.25.6 ou 1.24.12 (ou une version ultérieure) pour bénéficier des correctifs.

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor