L’équipe du projet OpenSSL a annoncé la publication, le 1er novembre 2022, de la version 3.0.7 d’OpenSSL, qui corrigera une vulnérabilité critique dans la célèbre bibliothèque cryptographique open-source.
Selon la classification des risques établie par l’équipe, les vulnérabilités critiques d’OpenSSL sont celles qui affectent les configurations courantes et qui sont susceptibles d’être exploitées.
Pourquoi l’équipe du projet OpenSSL annonce-t-elle à l’avance la publication des correctifs de sécurité ?
OpenSSL est présent dans de nombreux systèmes d’exploitation, logiciels côté client, serveurs web et de messagerie, appareils réseau, systèmes de contrôle industriel, etc.
Dans cette optique, l’équipe OpenSSL annonce généralement à l’avance les correctifs de sécurité sur son site et sur sa liste de diffusion, mais elle informe aussi directement les organisations qui produisent un système d’exploitation général utilisant OpenSSL, les responsables de projets open source populaires dérivés d’OpenSSL et les organisations avec lesquelles le projet entretient des relations commerciales.
Aucun détail n’a été communiqué au public concernant la vulnérabilité et, selon Mark J. Cox, membre de l’équipe centrale d’OpenSSL, il est peu probable que les attaquants découvrent la vulnérabilité avant que la version corrigée ne soit déployée à grande échelle.
