Il est conseillé aux administrateurs d'appliquer les mises à jour livrées cette semaine pour le composant de chiffrement OpenSSL.
Neuf correctifs viennent d'être livrés pour la bibliothèque de chiffrement OpenSSL, mais aucun des problèmes qu'ils viennent résoudre n'est aussi sérieux que ne l'était la vulnérabilité Heartbleed. Au printemps dernier, cette dernière avait provoqué une vive inquiétude dans la communauté informatique et conduit les fournisseurs à devoir produire rapidement des correctifs, la bibliothèque Open Source étant très largement utilisée au niveau mondial.
Le bulletin d'alerte associé à la dernière mise à jour détaille des failles qui ont été signalées entre juin et juillet par les analystes en sécurité de Google, Codenomicon, LogMeIn et NCC Group. Des problèmes pourraient être déclenchés par des attaques en déni de service conduisant OpenSSL à planter ou à consommer beaucoup de mémoire, notamment.
La bêta 2 d'OpenSSL 1.0.2 est disponible depuis 15 jours
Le code d'OpenSSL a été examiné de très près depuis avril dernier après la découverte, par Codenomicom, de la vulnérabilité Heartbleed qui risquait d'exposer des mots de passe et des clés privées SSL/TLS utilisées pour décoder le flux de données chiffrées. De surcroît, il n'était pas possible de détecter les attaques exploitant la faille. Assez vite, une quinzaine de poids lourds de l'industrie informatique dont Microsoft, IBM, Google, Facebook et VMware, ont constitué la Core Infrastructure Initiative (CII) pour renforcer ensemble la sécurité d'OpenSSL, en apportant leur soutien financier et leur expertise. En juin, Google a néanmoins indiqué qu'il se concentrait désormais sur sa propre version d'OpenSSL (surnommée BoringSSL) tout en continuant à envoyer des correctifs au projet Open Source et en maintenant son soutien à la CII.
L'un des correctifs livrés cette semaine pour Open SSL rectifie une erreur qui conduisait le serveur à passer à un niveau de sécurité inférieur lorsqu'un message « ClientHello » mal fragmenté était envoyé au serveur lors d'une attaque de type « man-in-the-middle », explique le bulletin. Par ailleurs, la bêta 2 d'OpenSSL 1.0.2 est disponible depuis le 22 juillet.
Suivez-nous