Deutsche Telekom signale des vulnérabilités de sécurité découvertes par des testeurs internes

Deutsche Telekom a rendu publiques des informations concernant plusieurs vulnérabilités de sécurité découvertes par ses propres évaluateurs de sécurité dans des solutions logicielles qu'elle utilise. L'entreprise respecte une politique de divulgation responsable, ne publiant les informations qu'après que les vulnérabilités ont été corrigées et que les parties affectées ont donné leur consentement.

Les découvertes récentes incluent deux vulnérabilités de dépassement de tampon à distance au sein de la bibliothèque SharkSSL TLS. La première, CVE-2024-53379, affecte le traitement de l'établissement de liaison Client Hello et a été signalée en décembre 2024. Une seconde vulnérabilité, CVE-2024-48075, liée au traitement de l'établissement de liaison Client Key Exchange, a été publiée en novembre 2024.

L'entreprise a également signalé une vulnérabilité critique de déni de service (DoS) (CVE-2023-24609) dans le traitement des clés pré-partagées de la bibliothèque MatrixSSL TLSv1.3, découverte en décembre 2023. De plus, une vulnérabilité critique de fuite DNS a été identifiée dans le client VPN mobile Strongswan (découverte en décembre 2023), ainsi qu'une autre vulnérabilité critique de dépassement de tampon à distance lors du traitement des messages du serveur MatrixSSL TLSv1.3 (CVE-2022-43974, publiée en janvier 2023).

Ces découvertes ont été réalisées par des évaluateurs de sécurité de Deutsche Telekom Security GmbH et Deutsche Telekom AG, utilisant des techniques modernes de fuzzing. L'entreprise vise à contribuer à la cybersécurité en publiant des commentaires techniques et des avis CERT, aidant potentiellement d'autres organisations à identifier et à résoudre des menaces similaires.