Les versions 3.x à 3.0.6 (antérieures à 3.0.7) d'OpenSSL sont vulnérables à une faille de sécurité de haute sévérité qui peut conduire à un plantage ou à un comportement inattendu.

OpenSSL a publié un avis à l'adresse suivante : https://www.openssl.org/news/secadv/20221101.txt

Les micrologiciels et les logiciels Supermicro ne sont pas concernés par les CVE-2022-3786 et CVE-2022-3602, car les produits Supermicro utilisent les versions 1.0.x - 1.1.1 d'OpenSSL.

Plus d'informations :

Un attaquant peut créer une adresse électronique malveillante pour déborder un nombre arbitraire d'octets contenant le caractère `.` (décimal 46) sur la pile. Ce débordement de mémoire tampon peut entraîner un plantage (déni de service).

Un dépassement de mémoire tampon peut être déclenché lors de la vérification des certificats X.509, en particulier lors de la vérification des contraintes de nom. Un attaquant peut créer une adresse électronique malveillante pour faire déborder quatre octets contrôlés par l'attaquant sur la pile. Ce dépassement de mémoire tampon peut entraîner un plantage (provoquant un déni de service) ou potentiellement une exécution de code à distance.