Les versions 3.x à 3.0.6 (antérieures à 3.0.7) d'OpenSSL sont vulnérables à une faille de sécurité de haute sévérité qui peut conduire à un plantage ou à un comportement inattendu.

OpenSSL a publié un avis à l'adresse suivante : https://www.openssl.org/news/secadv/20221101.txt

Supermicro firmware and software products are not affected by either CVE-2022-3786 or CVE-2022-3602 since Supermicro products use OpenSSL versions 1.0.x - 1.1.1.

Plus d'informations :

Un attaquant peut créer une adresse électronique malveillante pour déborder un nombre arbitraire d'octets contenant le caractère `.` (décimal 46) sur la pile. Ce débordement de mémoire tampon peut entraîner un plantage (déni de service).

Un dépassement de mémoire tampon peut être déclenché lors de la vérification des certificats X.509, en particulier lors de la vérification des contraintes de nom. Un attaquant peut créer une adresse électronique malveillante pour faire déborder quatre octets contrôlés par l'attaquant sur la pile. Ce dépassement de mémoire tampon peut entraîner un plantage (provoquant un déni de service) ou potentiellement une exécution de code à distance.