OpenSSL CVE-2026-31790 : fuite mémoire RSASVE et autres vulnérabilités
Plusieurs vulnérabilités signalées sur OpenSSL, notamment CVE-2026-31790.
Publié le par Emmanuel LASTRA 1 min de lecture
Le 7 avril 2026, l’équipe OpenSSL a publié un avis couvrant notamment CVE-2026-31790 (modéré) : une implémentation de RSASVE KEM peut renvoyer le contenu d’un tampon mémoire non initialisé si EVP_PKEY_encapsulate() est utilisé avec une clé publique RSA invalide.
L’avis OpenSSL du 7 avril 2026 couvre plusieurs vulnérabilités en plus de CVE-2026-31790 :
- CVE-2026-31789 : Heap buffer overflow (32-bit). Sévérité : Low
- CVE-2026-28386 : Out-of-bounds read AES-CFB-128 sur x86-64 (AVX-512). Sévérité : Low
- CVE-2026-28387 : Use-after-free possible dans le code client DANE. Sévérité : Low
- CVE-2026-28388 : NULL pointer dereference lors du traitement d’un Delta CRL. Sévérité : Low
- CVE-2026-28389 : NULL deref possible lors du traitement CMS KeyAgreeRecipientInfo. Sévérité : Low
- CVE-2026-28390 : NULL deref possible lors du traitement CMS KeyTransportRecipientInfo. Sévérité : Low
Vous pouvez consulter l’avis officiel pour la liste complète et les détails de chaque correctif.
Versions affectées et correctifs
- Affectées : 3.6.0 à 3.6.1, corrigé en 3.6.2.
- Affectées : 3.5.0 à 3.5.5, corrigé en 3.5.6.
- Affectées : 3.4.0 à 3.4.4, corrigé en 3.4.5.
- Affectées : 3.3.0 à 3.3.6, corrigé en 3.3.7.
- Affectées : 3.0.0 à 3.0.19, corrigé en 3.0.20.
Il est recommandé de mettre à jour vers les versions corrigées dès que possible.