Multiples vulnérabilités dans OpenSSL (08 avril 2026)
Publié le 8 avril 2026 00:00
Risques
- Atteinte à la confidentialité des données
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- OpenSSL versions 1.0.2 antérieures à 1.0.2zp
- OpenSSL versions 1.1.1 antérieures à 1.1.1zg
- OpenSSL versions 3.0.x antérieures à 3.0.20
- OpenSSL versions 3.3.x antérieures à 3.3.7
- OpenSSL versions 3.4.x antérieures à 3.4.5
- OpenSSL versions 3.5.x antérieures à 3.5.6
- OpenSSL versions 3.6.x antérieures à 3.6.2
L'éditeur indique que les modules FIPS des versions 3.6, 3.5, 3.4, 3.3, 3.1 et 3.0 sont affectés par la vulnérabilité CVE-2026-31790 et les versions 3.6 par la vulnérabilité CVE-2026-31790, sur systèmes x86-64 avec les instructions AVX-512 er VAES activées.
Résumé
De multiples vulnérabilités ont été découvertes dans OpenSSL. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation