Alerte Linux : faille critique dans une implémentation de SSL et TLS

Le par  |  11 commentaire(s)
https

Une importante vulnérabilité a été découverte dans la bibliothèque GnuTLS utilisée dans des distributions Linux. GnuTLS est une implémentation libre des protocoles de sécurisation SSL et TLS.

Des centaines de paquets logiciels sont concernés ainsi que les distributions Linux de Red Hat, Ubuntu et Debian pour lesquelles des correctifs sont proposés via une mise à jour de GnuTLS. Cette bibliothèque logicielle est une implémentation libre de SSL et TLS, les protocoles de sécurisation des échanges sur Internet.

linuxintroLa faille dans GnuTLS a été découverte lors d'un audit par Nikos Mavrogiannopoulos de l'équipe Red Hat Security Technologies. Plutôt inquiétant, elle n'est a priori pas de première jeunesse (elle serait présente depuis au moins  neuf ans). De quoi porter un petit coup de canif au fait que l'ouverture du code est la solution ultime pour le rendre plus sûr.

D'après l'alerte de sécurité de Red Hat, GnuTLS ne traitait pas correctement certaines erreurs pouvant intervenir lors de la vérification d'un certificat X.509 (norme de chiffrement utilisée avec SSL / TLS). Autrement dit, un bug dans la vérification de l'authenticité de certificats TLS.

Le risque est qu'un attaquant pouvait exploiter la vulnérabilité pour une attaque de type man-in-the-middle et lors d'une connexion TLS, faire passer un certificat contrefait pour authentique en étant accepté par GnuTLS. De quoi permettre à un site potentiellement malveillant d'apparaître comme valide.

Comme pour le récent cas d'Apple avec sa gaffe dans sa propre implémentation des protocoles SSL et TLS, la vulnérabilité dans GnuTLS est la conséquence de maladresses dans le code. Cette fois-ci, ce n'est pas un doublon de la commande " Goto fail " mais des erreurs avec plusieurs appels " Goto cleanup ".

C'est en fait plus un problème dans l'utilisation de la commande Goto proposée dans les langages de programmation pour des sauts inconditionnels. Son utilisation excessive est souvent assimilée à de la programmation spaghetti.

Le projet GnuTLS a confirmé la vulnérabilité et aiguille vers une mise à jour pour la dernière version 3.2.12 ou 3.1.22 de GnuTLS, voire un patch pour GnuTLS 2.12.x.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #1674992
Faille critique dans LINUX.
A entendre certains ici, seul win était de la daube au niveau sécurité.
Cela remet les pendules à l'heure.

Comme quoi nul n'est infaillible est bien confirmé.
Le #1675012
Il n'y a pas de "petit coup de canif " puisque c'est précisément en examinant le code que l'on a vu le problème et qu'il a été aussitôt corrigé. On ne sait même pas si la faille était réellement exploitable, puisque même ancienne, elle n'a jamais été découverte par des hackers. Cette histoire montre au contraire que les failles qui se voient de l'extérieur ne sont que la partie émergée de l'iceberg.
Le #1675072
penseurodin a écrit :

Il n'y a pas de "petit coup de canif " puisque c'est précisément en examinant le code que l'on a vu le problème et qu'il a été aussitôt corrigé. On ne sait même pas si la faille était réellement exploitable, puisque même ancienne, elle n'a jamais été découverte par des hackers. Cette histoire montre au contraire que les failles qui se voient de l'extérieur ne sont que la partie émergée de l'iceberg.


"il a été aussitôt corrigé"... au bout de neuf ans !

Le but n'est pas d'essayer de dévaloriser Linux, mais simplement de rétablir la vérité après tant de prosélytisme stupide et aveugle de la part des trolls linuxiens. Le code dit "ouvert" n'est pas une protection absolue contre tout bug, défaut ou malfaçon.

Après, soyons honnêtes : si en 9 ans cette faille n'a pas été exploitée, c'est certainement qu'elle est loin d'être aussi problématique qu'on voudrait le présenter.
Le #1675152
Sicyons a écrit :

penseurodin a écrit :

Il n'y a pas de "petit coup de canif " puisque c'est précisément en examinant le code que l'on a vu le problème et qu'il a été aussitôt corrigé. On ne sait même pas si la faille était réellement exploitable, puisque même ancienne, elle n'a jamais été découverte par des hackers. Cette histoire montre au contraire que les failles qui se voient de l'extérieur ne sont que la partie émergée de l'iceberg.


"il a été aussitôt corrigé"... au bout de neuf ans !

Le but n'est pas d'essayer de dévaloriser Linux, mais simplement de rétablir la vérité après tant de prosélytisme stupide et aveugle de la part des trolls linuxiens. Le code dit "ouvert" n'est pas une protection absolue contre tout bug, défaut ou malfaçon.

Après, soyons honnêtes : si en 9 ans cette faille n'a pas été exploitée, c'est certainement qu'elle est loin d'être aussi problématique qu'on voudrait le présenter.


En fait, cette faille est déjà connue, depuis 2008 pour être précis.

Source: mailing-list d'openLDAP (on ne peut pas les taxer de ne pas être sérieux):

http://www.openldap.org/lists/openldap-devel/200802/msg00072.html

Après une petite investigation sur ma machine sous Arch (libgnutls n'est même pas dans les dépôts standards, mais dans AUR) et mes serveurs sous debian, le seul paquet que j'ai installé dépendant de gnutls, c'est wireshark (étrangement). Le reste, firefox en tête, utilise openssl, qui ne présente pas ce défaut de conception.

edit: la mise à jour de libgnutls26 est dispo pour debian stable.
edit2: @Du974 en fait ce n'est pas une faille du noyau linux, mais d'un logiciel tiers (gnutls) auquel on préfèrera openssl en général. Ceci dit tu as raison, nul n'est infaillible.
Anonyme
Le #1675232

de la programmation spaghetti


J'ai apporté de la bolo !
Le #1675252
Sicyons a écrit :

penseurodin a écrit :

Il n'y a pas de "petit coup de canif " puisque c'est précisément en examinant le code que l'on a vu le problème et qu'il a été aussitôt corrigé. On ne sait même pas si la faille était réellement exploitable, puisque même ancienne, elle n'a jamais été découverte par des hackers. Cette histoire montre au contraire que les failles qui se voient de l'extérieur ne sont que la partie émergée de l'iceberg.


"il a été aussitôt corrigé"... au bout de neuf ans !

Le but n'est pas d'essayer de dévaloriser Linux, mais simplement de rétablir la vérité après tant de prosélytisme stupide et aveugle de la part des trolls linuxiens. Le code dit "ouvert" n'est pas une protection absolue contre tout bug, défaut ou malfaçon.

Après, soyons honnêtes : si en 9 ans cette faille n'a pas été exploitée, c'est certainement qu'elle est loin d'être aussi problématique qu'on voudrait le présenter.


Je ne suis pas un linuxien. Par contre j'ai développé pas mal de logiciels et je sais par expérience qu'il arrive fréquemment que l'on commence une partie, en pensant la revoir plus tard, pour pouvoir en entamer une autre et que l'on n'est pas le temps de faire ce que l'on avait prévu au départ. Si le code de Windows était ouvert, on trouverait surement des failles vielles de 20 ans jamais découvertes ni exploitées. En fait ça n'a pas grand chose à voir avec des failles de sécurité que les hackers peuvent trouver et qui sont liés à des backdoors ou des fonctions plus ou moins cachées.
Le #1675262
Tiobet a écrit :


de la programmation spaghetti


J'ai apporté de la bolo !


C'est malin, j'ai de nouveau faim
Anonyme
Le #1675332
LGdotfr a écrit :

Tiobet a écrit :


de la programmation spaghetti


J'ai apporté de la bolo !


C'est malin, j'ai de nouveau faim


Allez, je partage .
Le #1675472
Du974 a écrit :

Faille critique dans LINUX.
A entendre certains ici, seul win était de la daube au niveau sécurité.
Cela remet les pendules à l'heure.

Comme quoi nul n'est infaillible est bien confirmé.


"cette faille est déjà connue, depuis 2008 pour être précis"

Ca montre toute la mesure de la sécurité sous Linux !!!!
Le #1676122
oldjohn a écrit :

Du974 a écrit :

Faille critique dans LINUX.
A entendre certains ici, seul win était de la daube au niveau sécurité.
Cela remet les pendules à l'heure.

Comme quoi nul n'est infaillible est bien confirmé.


"cette faille est déjà connue, depuis 2008 pour être précis"

Ca montre toute la mesure de la sécurité sous Linux !!!!


En fait, ça montre surtout la mesure de la sécurité des devs de libgnutls. Au passage et si tu te renseignes, tu verras que ça fait plusieurs années que les distros majeures utillisent openssl à la place, justement pour ces raisons. C'est gentil de me citer, autant ne pas couper la citation là où ça t'arranges
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]