2015/07/08

Alerte rouge : une autre vulnérabilité critique dans OpenSSL


Le projet OpenSSL demande de se préparer à la proche venue d'un patch pour combler une vulnérabilité de sécurité à l'importance jugée élevée.
Mystère et boule de gomme mais le projet OpenSSL tient en alerte les administrateurs système et développeurs. Le 9 juillet, il y aura la publication d'un patch afin de corriger une vulnérabilité de sécurité dont l'indice de gravité est au plus haut.

OpenSSL est la fameuse bibliothèque open source de chiffrement qui est largement utilisée pour les communications Internet avec les protocoles SSL / TLS. Le Web garde encore en mémoire l'affaire de la faille dite Heartbleed divulguée l'année dernière.

Puis il y a eu POODLE quelques mois plus tard et ce avant FREAK. Pas encore de petit nom anxiogène pour la prochaine grosse faille dans OpenSSL… et c'est peut-être un bon signe.

Le projet OpenSSL indique que des mises à jour pour les versions 1.0.1 et 1.0.2 d'OpenSSL seront publiées jeudi prochain afin de combler la mystérieuse vulnérabilité. Respectivement, elles prennent actuellement en charge TLS v1.1 et TLS v1.2. Il faudra alors compter sur une bonne réactivité des administrateurs système et développeurs.

À ce stade, le seul véritable indice est qu'une vulnérabilité de sécurité à l'importance élevée peut couvrir des problèmes comme un déni de service pour un serveur, une fuite de mémoire significative et une exécution de code à distance. Suspense…

No comments:

Post a Comment