OpenSSL : le patch est livré dans le calme

Le par  |  4 commentaire(s) Source : OpenSSL
https

Le projet OpenSSL publie sa rustine après avoir mis tout le monde en alerte concernant une vulnérabilité de sécurité critique.

En début de semaine, le projet OpenSSL avait annoncé pour aujourd'hui la publication d'une mise à jour afin de corriger dans la bibliothèque de chiffrement éponyme un bug de sécurité à l'indice de gravité élevé. Une pré-annonce toujours anxiogène lorsqu'on touche à une telle technologie largement utilisée pour les communications Internet chiffrées (HTTPS via SSL / TLS).

censureLe patch est bel et bien au rendez-vous afin de corriger OpenSSL 1.0.1 et 1.0.2 qui sont disponibles depuis le mois de juin dernier. Le projet OpenSSL rappelle au passage que le support des versions 1.0.0 et 0.9.8 (non affectées) prend fin le 31 décembre 2015.

On apprend que ledit bug de sécurité avait été rapporté le 24 juin 2015 par le projet BoringSSL qui est un fork d'OpenSSL développé par Google. Le correctif a également été confectionné par BoringSSL. L'exploitation de la vulnérabilité permet à un attaquant avec un certificat TLS non sûr de se faire passer pour une autorité de certification et ainsi espionner un autre site.

Un membre de l'équipe de développement d'OpenSSL a confié à ThreatPost que le patch nécessite une ligne de code. Il ajoute que le méchant bug affecte quiconque a installé les publications d'OpenSSL de juin et " concerne relativement peu d'entreprises ". Il juge son impact faible et aucun rapport d'une exploitation active n'a été signalé.

Nous sommes a priori loin de la panique qu'avait pu susciter Heartbleed.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1849411
La faille a depuis probablement été exploitée sur le site visé, elle peut à présent disparaître sans faire de vagues. Vive le participatif, et son illusoire sécurité...
Le #1849433
Et ben voilà... On se calme et on prend ses gouttes ! C'était inutile de s'affoler C'est ca le Libre
Le #1849473
la securité est la preoccupation de tout nation.en cela je vois un imperatif categorique majeur pour une meilleure protection.
Le #1849478
0111222 a écrit :

la securité est la preoccupation de tout nation.en cela je vois un imperatif categorique majeur pour une meilleure protection.


Permets-moi d'avoir quelques doutes ... un certain Snowden a largement démontré que MA sécurité n'est vraiment pas la priorité de nos gouvernants ( ni la tienne d'ailleurs ! ), qui au contraire veulent pouvoir avoir accès à tout le plus facilement possible.

Bref, le chiffrement des données, ils n'en veulent pas ... alors TA sécurité, va vraiment falloir que TU t'en occupes toi-même.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]