Les versions d'OpenSSL de 3.x à 3.0.6 (antérieures à 3.0.7) sont vulnérables à une faille de sécurité de haute gravité pouvant entraîner un plantage ou un comportement inattendu.

OpenSSL a publié un avis disponible à l'adresse https://www.openssl.org/news/secadv/20221101.txt

Supermicro Les produits logiciels et les microprogrammes ne sont pas affectés par les vulnérabilités CVE-2022-3786 ni CVE-2022-3602 depuis Supermicro les produits utilisent les versions OpenSSL 1.0.x - 1.1.1.

Plus d'informations :

Un attaquant peut concevoir une adresse électronique malveillante pour provoquer un dépassement de tampon d'un nombre arbitraire d'octets contenant le caractère « . » (46 en décimal). Ce dépassement de tampon pourrait entraîner un plantage (provoquant un déni de service).

Un dépassement de tampon peut se produire lors de la vérification des certificats X.509, notamment lors du contrôle des contraintes de nom. Un attaquant peut concevoir une adresse électronique malveillante pour provoquer un dépassement de quatre octets contrôlés par l'attaquant sur la pile. Ce dépassement de tampon peut entraîner un plantage (provoquant un déni de service) ou potentiellement l'exécution de code à distance.