Plateforme
openssl
Composant
openssl
Corrigé dans
3.6.2
CVE-2026-34054 est une vulnérabilité dans OpenSSL affectant vcpkg. Les builds Windows de OpenSSL définissent openssldir sur un chemin de la machine de build, rendant ce chemin vulnérable sur les machines clientes. Cette vulnérabilité affecte les versions <= 3.6.1#3. La version 3.6.1#3 corrige ce problème.
La CVE-2026-34054 affecte les builds Windows d'OpenSSL gérés par vcpkg, un gestionnaire de paquets C/C++ open source. Avant la version 3.6.1#3, vcpkg définissait la variable openssldir sur un chemin sur la machine de build. Cela signifiait que ce chemin, et potentiellement la configuration OpenSSL associée, pouvait être transféré aux machines des clients lors de l'installation du logiciel. Un attaquant pourrait, en théorie, exploiter cela pour compromettre la sécurité de l'application si le chemin est mal utilisé ou si un accès non autorisé à celui-ci est permis. Le score CVSS de 7,8 indique une vulnérabilité de sévérité modérée.
L'exploitation de cette vulnérabilité nécessite un accès à la machine de build ou la capacité d'influencer le processus de build de vcpkg. Un attaquant pourrait modifier la configuration OpenSSL sur la machine de build, puis distribuer un logiciel compromis qui utilise vcpkg. Une fois installé sur une machine cliente, le logiciel pourrait être vulnérable si le chemin openssldir est utilisé de manière non sécurisée. Le risque est accru si le chemin pointe vers un répertoire accessible via le réseau ou si un accès en écriture à ce répertoire est autorisé. Bien que l'exploitation directe sur la machine cliente soit moins probable, le risque de compromission pendant la build et la distribution est significatif.
Organizations that utilize vcpkg for building C/C++ applications on Windows, particularly those relying on OpenSSL for secure communication or data encryption, are at risk. This includes developers, DevOps teams, and system administrators involved in the build and deployment pipelines. Shared hosting environments where multiple users build applications using a common vcpkg installation are also particularly vulnerable.
• windows / supply-chain:
Get-ChildItem -Path "C:\Program Files\vcpkg\installed\x64-windows\bin\openssl.exe" -ErrorAction SilentlyContinue | Select-Object -ExpandProperty FullName• linux / server:
find / -name "openssl.cnf" -print 2>/dev/null• generic web:
curl -I https://example.com | grep openssldirdisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
Vecteur CVSS
La solution à ce problème est de mettre à jour vcpkg vers la version 3.6.1#3 ou ultérieure. Cette version corrige le paramétrage incorrect de openssldir et garantit que le chemin est défini correctement pendant le processus d'installation, empêchant le transfert du chemin de la machine de build vers les machines des clients. Il est fortement recommandé de mettre à jour vcpkg dès que possible pour atténuer ce risque. De plus, examinez les dépendances de votre projet pour vous assurer qu'ils utilisent une version sécurisée de vcpkg et OpenSSL. La mise à jour est l'étape la plus importante pour se protéger contre cette vulnérabilité.
Actualice vcpkg a la versión 3.6.1#3 o posterior. Esto asegura que las compilaciones de OpenSSL en Windows no sean vulnerables a la manipulación de la ruta de búsqueda.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
vcpkg est un gestionnaire de paquets C/C++ qui simplifie la gestion des dépendances dans les projets logiciels.
Vous pouvez mettre à jour vcpkg en utilisant la commande vcpkg upgrade dans la ligne de commande.
Pas nécessairement. L'impact dépend de la façon dont OpenSSL et le chemin openssldir sont utilisés dans l'application.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité. La meilleure façon est de vérifier la version de vcpkg que vous utilisez.
Envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la restriction de l'accès à la machine de build et l'examen de la configuration OpenSSL.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.