Plateforme
openssl
Composant
openssl
Corrigé dans
0.10.9
La vulnérabilité CVE-2018-20997 est une faille de type Use-After-Free découverte dans la crate OpenSSL. Cette faille permet à un attaquant de manipuler la mémoire après qu'elle ait été libérée, ce qui peut entraîner un plantage de l'application ou, dans des circonstances plus graves, l'exécution de code arbitraire. Elle affecte les versions d'OpenSSL antérieures à 0.10.9 et une mise à jour vers cette version est recommandée pour atténuer le risque.
L'exploitation réussie de cette vulnérabilité Use-After-Free peut permettre à un attaquant de compromettre la confidentialité, l'intégrité et la disponibilité du système. Un attaquant pourrait potentiellement injecter du code malveillant et prendre le contrôle du système affecté. La nature critique de la vulnérabilité, combinée à l'utilisation répandue d'OpenSSL dans diverses applications et services, en fait une cible attrayante pour les acteurs malveillants. Le risque est exacerbé par le fait que cette vulnérabilité peut être exploitée à distance, ce qui augmente la surface d'attaque potentielle. Une exploitation réussie pourrait entraîner une perte de données, une interruption de service ou une compromission complète du système.
Cette vulnérabilité a été largement diffusée et est considérée comme critique. Bien qu'il n'y ait pas de rapports d'exploitation active à grande échelle confirmés, la disponibilité de la vulnérabilité et sa gravité en font une cible potentielle pour les acteurs malveillants. La vulnérabilité a été ajoutée au catalogue KEV de CISA (KEV-2018-057). Des preuves de concept (PoC) peuvent être disponibles en ligne, ce qui facilite l'exploitation par des attaquants moins expérimentés.
Applications and systems that rely on the OpenSSL crate, particularly those handling sensitive data or performing critical operations, are at risk. This includes Rust-based web applications, command-line tools, and embedded systems utilizing the crate for secure communication.
• rust / supply-chain: Examine dependencies for versions prior to 0.10.9 using cargo audit. Check for unusual memory access patterns in code using OpenSSL crate functions.
• generic web: Monitor application logs for crashes or errors related to OpenSSL.
• database (mysql, redis, mongodb, postgresql): If OpenSSL is used for TLS/SSL connections, check the OpenSSL version used by the database client library.
disclosure
Statut de l'Exploit
EPSS
0.50% (percentile 66%)
Vecteur CVSS
La mitigation principale contre CVE-2018-20997 est de mettre à jour la crate OpenSSL vers la version 0.10.9 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé d'examiner attentivement l'architecture de l'application pour identifier les points d'entrée potentiels pour l'exploitation de la vulnérabilité. Des mesures de sécurité supplémentaires, telles que l'utilisation d'un environnement sandboxé ou d'une analyse statique du code, peuvent aider à réduire le risque. Il n'existe pas de correctifs temporaires ou de règles WAF spécifiques connues pour cette vulnérabilité, la mise à jour étant la solution la plus efficace. Après la mise à jour, vérifiez l'intégrité des fichiers OpenSSL pour vous assurer qu'ils n'ont pas été compromis.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2018-20997 is a critical vulnerability in the OpenSSL crate where memory is accessed after it has been freed, potentially leading to code execution.
You are affected if you are using the OpenSSL crate versions prior to 0.10.9. Check your project dependencies to determine if you are vulnerable.
Upgrade to OpenSSL crate version 0.10.9 or later to resolve this vulnerability. Ensure all dependent libraries are also updated.
While no confirmed active exploitation campaigns are publicly known, Use-After-Free vulnerabilities are frequently targeted, so vigilance is advised.
Refer to the OpenSSL project's security advisories and release notes for details: https://www.openssl.org/news/security/
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.