Plateforme
openssl
Composant
openssl
Corrigé dans
3.6.2
La vulnérabilité CVE-2026-28386 affecte OpenSSL, spécifiquement les versions 3.6.0 et 3.6.1. Elle se manifeste par une lecture hors limites de mémoire pouvant entraîner un crash de l'application, menant à un déni de service si l'entrée se termine à la limite d'une page mémoire. Cette vulnérabilité est déclenchée lors du traitement de blocs de chiffrement partiels avec AES-CFB128 sur les systèmes équipés d'AVX-512 et VAES. Une version corrigée (3.6.2) est disponible.
La vulnérabilité CVE-2026-28386 dans OpenSSL affecte les applications utilisant le chiffrement ou le déchiffrement AES-CFB128 sur les systèmes disposant d'AVX-512 et VAES. Une lecture en dehors des limites de jusqu'à 15 octets peut être déclenchée lors du traitement de blocs de chiffrement partiels. Bien qu'il n'y ait pas de divulgation d'informations, car les octets lus en dehors des limites ne sont pas écrits dans la sortie, cette vulnérabilité peut entraîner un crash de l'application dans des conditions spécifiques. Le risque est accru si le tampon d'entrée se termine à une limite de page mémoire et que la page suivante n'est pas mappée, ce qui peut entraîner un déni de service (DoS). La gravité dépend de la probabilité de ces conditions et de l'impact sur la disponibilité du service.
L'exploitation de CVE-2026-28386 nécessite des conditions spécifiques : l'utilisation d'AES-CFB128, la présence d'AVX-512 et VAES, et le tampon d'entrée se terminant à une limite de page mémoire avec une page suivante non mappée. Cela rend l'exploitation moins probable que pour les vulnérabilités plus générales, mais représente toujours un risque potentiel. Les attaquants pourraient tenter de manipuler l'entrée pour forcer la condition d'alignement et déclencher un crash de l'application. La complexité de l'exploitation limite sa portée, mais n'élimine pas le besoin de la correction.
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
La solution pour atténuer CVE-2026-28386 consiste à mettre à niveau vers OpenSSL version 3.6.2 ou ultérieure. Cette version inclut une correction qui empêche la lecture en dehors des limites. Il est fortement recommandé d'appliquer cette mise à niveau rapidement, en particulier dans les environnements critiques. Il est également conseillé de revoir les configurations de sécurité OpenSSL et les dépendances pour s'assurer que les versions mises à jour et les meilleures pratiques de sécurité sont implémentées. La surveillance continue des systèmes pour détecter d'éventuelles exploitations est une mesure préventive importante.
Actualice a OpenSSL versión 3.6.2 o superior para mitigar la vulnerabilidad. Esta actualización corrige un error de lectura fuera de límites en el modo AES-CFB-128 que puede causar una denegación de servicio en sistemas x86-64 con AVX-512 y VAES.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
AES-CFB128 est un mode de fonctionnement du chiffrement AES par blocs utilisant un bloc de 128 bits. C'est un mode de chiffrement par blocs utilisé pour protéger les données sensibles.
AVX-512 est un ensemble d'extensions d'ensemble d'instructions pour les processeurs x86 qui permet des opérations vectorielles sur des données de 512 bits. VAES est une extension AVX-512 fournissant des instructions accélérées pour le chiffrement AES.
Vérifiez la version d'OpenSSL installée sur votre système. Si vous utilisez une version antérieure à 3.6.2, vous êtes vulnérable. Vous pouvez utiliser la commande openssl version dans la ligne de commande.
Les solutions de contournement temporaires ne sont pas recommandées. La mise à niveau vers la version corrigée est la meilleure option. Éviter l'utilisation d'AES-CFB128 sur les systèmes vulnérables pourrait être une option, mais pourrait affecter la fonctionnalité de l'application.
Si vous ne pouvez pas mettre à niveau immédiatement, surveillez vos systèmes à la recherche d'activités suspectes et envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que des pare-feu et des systèmes de détection d'intrusion.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.