OpenSSL : une vulnérabilité présente depuis 15 ans

Le par  |  7 commentaire(s)
Chiffrement

Ce n'est pas Heartbleed mais de nouvelles vulnérabilités ont été identifiées - et corrigées - dans OpenSSL. Six failles dont deux critiques. L'une d'elles était présente dans le code depuis plus de 15 ans.

Hier, le projet OpenSSL a publié un avis de sécurité concernant six vulnérabilités dans la désormais célèbre bibliothèque open source qui est largement utilisée sur Internet pour l'implémentation des protocoles de sécurisation des échanges SSL et TLS.

OpenSSL a connu une soudaine notoriété grand public à l'occasion de la révélation en avril dernier du bug Heartbleed qui avait été introduit par erreur en mars 2012. Une grosse alerte pour 17 % des serveurs Web sécurisés - un demi-million de sites - avec la possibilité pour un attaquant de récupérer des données en clair.

OpenSSL-nouvelles-vulnerabilites-SymantecLes six nouvelles vulnérabilités affectant OpenSSL ne sont pas du même acabit que Heartbleed. Pour autant, elles ne sont pas à négliger et les correctifs sont prêts. Elles peuvent être exploitées par des attaquants pour divulguer des informations potentiellement sensibles, manipuler certaines données, provoquer des dénis de service…

Deux vulnérabilités sont considérées critiques. Une vulnérabilité de corruption de mémoire affectant DTLS ( sécurisation des échanges en mode datagramme basée sur TLS ) dont l'exploitation permet à un attaquant d'exécuter du code à distance sur un client ou serveur, et une vulnérabilité permettant une attaque de type homme du milieu pour intercepter du trafic entre un client vulnérable et un serveur vulnérable.

D'après Symantec, il n'existe actuellement pas de preuve de concept sur la manière dont de telles vulnérabilités pourraient être exploitées. C'est la vulnérabilité permettant une attaque man-in-the-middle qui semble la plus sérieuse.

Pour son découvreur Kikychi Masashi de Lepidum, elle réside au niveau du traitement des messages ChangeCipherSpec qui sont envoyés pour la poignée de main TLS. Expert reconnu qui travaille chez Google, Adam Langley écrit sur son blog que ces messages marquent le changement d'un trafic non chiffré à chiffré.

Adam Langley considère que la position d'homme du milieu pour l'attaque est une bonne nouvelle et ajoute que " les clients non-OpenSSL ( IE, Firefox, Chrome sur ordinateur et iOS, Safari… ) ne sont pas affectés ". Pour l'exploitation de Heartbleed, quiconque pouvait envoyer une requête malveillante à des serveurs pour tenter de récupérer des mots de passe en clair et clés de chiffrement.

Ce qui interpelle est que la vulnérabilité critique est demeurée présente et non détectée dans le code d'OpenSSL depuis décembre 1998. Kikychi Masashi pointe du doigt un examen du code source insuffisant, en particulier par ceux ayant de l'expérience dans l'implémentation de SSL / TLS. " Si ceux qui examinent le code avaient cette expérience, ils auraient vérifié le code d'OpenSSL de la même manière qu'ils le font pour leur propre code. Ils auraient détecté le problème. "

C'est justement pour répondre à ce genre de problématique touchant des projets open source considérés critiques que l'initiative Core Infrastructure Initiative a été lancée sous la houlette de la Fondation Linux.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1758782
Il parait que les logiciels libres sont plus sécurisés parce que le code source et relue par des milliers de développeurs
Le #1758862
Patchée hier dans Debian, c'est à dire à peine quelques heures après la divulgation de cette faille. Chez d'autres, il aurait fallu attendre le prochain patch tuesday

troll à part, faut pas non plus oublier que si des milliers de grands comptes utilisent openssl, bien peu ont participé à son développement, soit de façon financière soit en contribuant au code. Ah là tout à coup ils se bougent… mais c'est un peu tard.

De plus, OpenBSD a forké openssl (libressl) pour nettoyer le code (voire repartir de quasiment zéro), il y a déjà des builds dispos sous linux, et un grand malade l'a même linké avec nginx (edit: source: https://lolware.net/nginx.html ). Connaissant la réputation d'OpenBSD au niveau sécurité, il y a fort à parier que libressl va devenir le standard de facto d'ici quelques mois.
Le #1758962
Lebubu a écrit :

Il parait que les logiciels libres sont plus sécurisés parce que le code source et relue par des milliers de développeurs


ba oui, tu en as la preuve , ça fait 6 failles de moins ...



Le #1758992
Lebubu a écrit :

Il parait que les logiciels libres sont plus sécurisés parce que le code source et relue par des milliers de développeurs


1) Vous confondez libre et open-source
2) Dans un code non open-source propriétaire, vous DEVEZ croire inconditionnellement en ce que le dit code est censé faire. Avec un code open-source, vous POUVEZ également lui accorder une confiance absolue et aveugle en l'utilisant tel quel (ce que beaucoup font dont les utilisateurs de OpenSSL), mais vous POUVEZ SURTOUT examiner le dit code afin d'y repérer des anomalies (ce que peu font ou ont la capacité de faire). C'est pour moi un avantage essentiel et indéniable
Le #1759052
@ Lebubu : bien qu'étant un utilisateur mageia [ donc plutôt d'accord avec toi en principe ], ce que tu dis n' est valable que pour les logiciels qui sont écrits/corrigés par d'innombrables collaborateurs.
Inversement,ceux qui sont codés par 2 gars dans une cuisine ... peuvent très bien avoir des failles de sécurité, que personne ne corrigera jamais ... et dans ce cas de figure-là, si le code était propriétaire, donc non accessible, il y aurait davantage de sécurité.


Nous savons aujourd'hui que trop peu de gens se sont donnés la peine de relire et d'examiner attentivement le code d' openSSL [ si je ne me trompe, je crois qu'il y a eu UNE personne, qui avait loupé la faille Heartbleed ! ].

Toutes ces sociétés de milliardaires du Web qui se disent aujourd'hui affectées par ces bugs.... elles ont participé financièrement à l'écriture et nettoyage du code à hauteur de combien ? 0$ ? 00$ ? 000$ ? .... Aaah ouiiiiiii ...

Ouais, ouais .... quand c'est libre, ça veut dire que tu paies pas, donc pourquoi s'emmerder à payer, alors que t'as juste à te servir ...
Participer à un projet collectif, ....... beurk ! non, alors ! moi, je paie pas !
Encaisser les millions $, je veux bien ! ... en payer NON !
Le #1759532
frèzetagada a écrit :

@ Lebubu : bien qu'étant un utilisateur mageia [ donc plutôt d'accord avec toi en principe ], ce que tu dis n' est valable que pour les logiciels qui sont écrits/corrigés par d'innombrables collaborateurs.
Inversement,ceux qui sont codés par 2 gars dans une cuisine ... peuvent très bien avoir des failles de sécurité, que personne ne corrigera jamais ... et dans ce cas de figure-là, si le code était propriétaire, donc non accessible, il y aurait davantage de sécurité.


Nous savons aujourd'hui que trop peu de gens se sont donnés la peine de relire et d'examiner attentivement le code d' openSSL [ si je ne me trompe, je crois qu'il y a eu UNE personne, qui avait loupé la faille Heartbleed ! ].

Toutes ces sociétés de milliardaires du Web qui se disent aujourd'hui affectées par ces bugs.... elles ont participé financièrement à l'écriture et nettoyage du code à hauteur de combien ? 0$ ? 00$ ? 000$ ? .... Aaah ouiiiiiii ...

Ouais, ouais .... quand c'est libre, ça veut dire que tu paies pas, donc pourquoi s'emmerder à payer, alors que t'as juste à te servir ...
Participer à un projet collectif, ....... beurk ! non, alors ! moi, je paie pas !
Encaisser les millions $, je veux bien ! ... en payer NON !


pas mieux !!!
Le #1760032
frèzetagada a écrit :

@ Lebubu : bien qu'étant un utilisateur mageia [ donc plutôt d'accord avec toi en principe ], ce que tu dis n' est valable que pour les logiciels qui sont écrits/corrigés par d'innombrables collaborateurs.
Inversement,ceux qui sont codés par 2 gars dans une cuisine ... peuvent très bien avoir des failles de sécurité, que personne ne corrigera jamais ... et dans ce cas de figure-là, si le code était propriétaire, donc non accessible, il y aurait davantage de sécurité.


Nous savons aujourd'hui que trop peu de gens se sont donnés la peine de relire et d'examiner attentivement le code d' openSSL [ si je ne me trompe, je crois qu'il y a eu UNE personne, qui avait loupé la faille Heartbleed ! ].

Toutes ces sociétés de milliardaires du Web qui se disent aujourd'hui affectées par ces bugs.... elles ont participé financièrement à l'écriture et nettoyage du code à hauteur de combien ? 0$ ? 00$ ? 000$ ? .... Aaah ouiiiiiii ...

Ouais, ouais .... quand c'est libre, ça veut dire que tu paies pas, donc pourquoi s'emmerder à payer, alors que t'as juste à te servir ...
Participer à un projet collectif, ....... beurk ! non, alors ! moi, je paie pas !
Encaisser les millions $, je veux bien ! ... en payer NON !


Bienvenue dans le monde réel
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]