La bibliothèque OpenSSL est encore une fois victime d'une importante faille de sécurité. Seules les versions des branches 1.0.1 et 1.0.2 datant de moins d'un mois sont concernées, une mise à jour est d'ores et déjà disponible.
Le 6 juillet, OpenSSL diffusait un bulletin de sécurité plutôt inquiétant afin d'indiquer qu'une faille de sécurité avec un haut niveau de gravité avait été découverte. Des mises à jour étaient annoncées pour aujourd'hui et elles viennent d'être mises en ligne. Elles sont estampillées 1.0.1p et 1.0.2d.
Les notes de versions permettent d'en apprendre un peu plus sur les tenants et les aboutissants de cette histoire qui, après le douloureux épisode Heartbleed, avait de quoi préoccuper. « Lors de la vérification d'un certificat, OpenSSL (à partir de la version 1.0.1n et 1.0.2b) va tenter de trouver une chaîne de certification de remplacement si la première tentative échoue. Mais, une erreur dans sa mise en œuvre peut permettre à un attaquant d'outrepasser certaines vérifications sur des certificats non approuvés, comme celui de l'autorité de certification », explique OpenSSL. Problème, cela peut conduire à accepter un certificat non valide édité par une personne qui intercepte la communication.
OpenSSL indique que cette brèche avait été remontée le 24 juin dernier par Adam Langley et David Benjamin qui s'occupent tous les deux de BoringSSL, une implémentation maison d'OpenSSL développée par Google. Le correctif a été développé par BoringSSL avant d'être intégré à OpenSSL.
Il est donc recommandé de se mettre à jour si vous êtes sur l'une des versions touchées par cette faille : OpenSSL 1.0.1n, 1.0.1o, 1.0.2b et 1.0.2c. Ces quatre moutures ont été mises en ligne il y a moins d'un mois maintenant, on est donc loin d'être dans le cas de Heartbleed qui touchait bien plus de versions, avec une facilité de mise en œuvre bien plus grande.
Red Hat s'est d'ailleurs fendu d'un billet afin d'indiquer qu'« aucun de ses produits n'est affecté par cette faille (CVE-2015-1793), il n'y a donc pas de mesures à prendre pour corriger ou limiter cette brèche ». D'autres sociétés devraient suivre dans les heures qui viennent, que ce soit pour annoncer une mise à jour ou rassurer ses utilisateurs.
