Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

OpenSSL : nouvelle mise à jour pour une faille critique

Bientôt l'alphabet ne sera plus assez grand
Internet 2 min
OpenSSL : nouvelle mise à jour pour une faille critique
Crédits : Rizvan3d/iStock/Thinkstock

La bibliothèque OpenSSL est encore une fois victime d'une importante faille de sécurité. Seules les versions des branches 1.0.1 et 1.0.2 datant de moins d'un mois sont concernées, une mise à jour est d'ores et déjà disponible.

Le 6 juillet, OpenSSL diffusait un bulletin de sécurité plutôt inquiétant afin d'indiquer qu'une faille de sécurité avec un haut niveau de gravité avait été découverte. Des mises à jour étaient annoncées pour aujourd'hui et elles viennent d'être mises en ligne. Elles sont estampillées 1.0.1p et 1.0.2d.

Les notes de versions permettent d'en apprendre un peu plus sur les tenants et les aboutissants de cette histoire qui, après le douloureux épisode Heartbleed, avait de quoi préoccuper. « Lors de la vérification d'un certificat, OpenSSL (à partir de la version 1.0.1n et 1.0.2b) va tenter de trouver une chaîne de certification de remplacement si la première tentative échoue. Mais, une erreur dans sa mise en œuvre peut permettre à un attaquant d'outrepasser certaines vérifications sur des certificats non approuvés, comme celui de l'autorité de certification », explique OpenSSL. Problème, cela peut conduire à accepter un certificat non valide édité par une personne qui intercepte la communication.

OpenSSL indique que cette brèche avait été remontée le 24 juin dernier par Adam Langley et David Benjamin qui s'occupent tous les deux de BoringSSL, une implémentation maison d'OpenSSL développée par Google. Le correctif a été développé par BoringSSL avant d'être intégré à OpenSSL.

Il est donc recommandé de se mettre à jour si vous êtes sur l'une des versions touchées par cette faille : OpenSSL 1.0.1n, 1.0.1o, 1.0.2b et 1.0.2c. Ces quatre moutures ont été mises en ligne il y a moins d'un mois maintenant, on est donc loin d'être dans le cas de Heartbleed qui touchait bien plus de versions, avec une facilité de mise en œuvre bien plus grande.

Red Hat s'est d'ailleurs fendu d'un billet afin d'indiquer qu'« aucun de ses produits n'est affecté par cette faille (CVE-2015-1793), il n'y a donc pas de mesures à prendre pour corriger ou limiter cette brèche ». D'autres sociétés devraient suivre dans les heures qui viennent, que ce soit pour annoncer une mise à jour ou rassurer ses utilisateurs.

32 commentaires
Avatar de teddyalbina Abonné
Avatar de teddyalbinateddyalbina- 09/07/15 à 15:01:33

Mouais le code de openSSL est franchement crado. Faudrait voir pour réécrire tout ça proprement, plutôt que de plâtrer la chose.

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 09/07/15 à 15:17:54

C'est le but des 2 forks en cours : BoredSSL (Google) et LibreSSL (OpenBSD) :chinois:

De mémoire, le code de LibreSSL est déjà compilable sous Linux et est parfaitement rétro compatible OpenSSL

Avatar de Konrad INpactien
Avatar de KonradKonrad- 09/07/15 à 15:32:06

Dommage de voir de telles failles, surtout dans une bibliothèque utilisée aussi largement.

Enfin l'important est qu'elle ait été rapidement patchée.

Avatar de accuratecopy INpactien
Avatar de accuratecopyaccuratecopy- 09/07/15 à 16:06:22

Ca sent la mise à jour Synology très bientôt, il me semble que OpenSSL avait été mis à jour en version 1.01o.

Avatar de Lordtoniok INpactien
Avatar de LordtoniokLordtoniok- 09/07/15 à 17:08:52

ça sent surtout les mise à jour de 90% des serveurs et même clients ssl…
 

C'est toujours aussi massif.

Avatar de Patch INpactien
Avatar de PatchPatch- 09/07/15 à 17:26:28

John Shaft a écrit :

C'est le but des 2 forks en cours : BoredSSL (Google) et LibreSSL (OpenBSD) :chinois:

De mémoire, le code de LibreSSL est déjà compilable sous Linux et est parfaitement rétro compatible OpenSSL

Pquoi ce nom ne m'étonne même pas venant de GG? :transpi:

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 09/07/15 à 17:50:34

Patch a écrit :

Pquoi ce nom ne m'étonne même pas venant de GG? :transpi:

Correctif, c'est BoringSSL et non Bored :oops:

Enfin le sens est quasi identique :D

Je crois d'ailleurs que les 2 forks sont nés après HeartBleed

Édité par John Shaft le 09/07/2015 à 17:52
Avatar de Moff Tigriss INpactien
Avatar de Moff TigrissMoff Tigriss- 09/07/15 à 18:05:17

Ho ben non, je viens de passer la nuit à faire rentrer OpenSSL dans Nginx de force, faut tout recommencer maintenant :craint:
 

Avatar de sylvere Abonné
Avatar de sylveresylvere- 09/07/15 à 18:29:46

Pas du tout ! la plupart des serveurs ne tournent pas sur une version aussi récente (la 1.0.1n date du 11 Juin 2015)

exemple sur Debian Stable:
$ openssl version
OpenSSL 1.0.1k 8 Jan 2015

Avatar de tazvld Abonné
Avatar de tazvldtazvld- 09/07/15 à 18:31:07

A croire que quand bien même les sources soient accessibles, personnes n'a pris la peine de vraiment les vérifier... Pourtant, c'est pas comme si la bibliothèque était utilisé un peu partout et par un peu tout le monde et qu'elle était un point critique dans la sécurité.

Il n'est plus possible de commenter cette actualité.
Page 1 / 4