Alerte rouge : une autre vulnérabilité critique dans OpenSSL

Le par  |  10 commentaire(s)
peur

Le projet OpenSSL demande de se préparer à la proche venue d'un patch pour combler une vulnérabilité de sécurité à l'importance jugée élevée.

Mystère et boule de gomme mais le projet OpenSSL tient en alerte les administrateurs système et développeurs. Le 9 juillet, il y aura la publication d'un patch afin de corriger une vulnérabilité de sécurité dont l'indice de gravité est au plus haut.

Heartbleed-bugOpenSSL est la fameuse bibliothèque open source de chiffrement qui est largement utilisée pour les communications Internet avec les protocoles SSL / TLS. Le Web garde encore en mémoire l'affaire de la faille dite Heartbleed divulguée l'année dernière.

Puis il y a eu POODLE quelques mois plus tard et ce avant FREAK. Pas encore de petit nom anxiogène pour la prochaine grosse faille dans OpenSSL… et c'est peut-être un bon signe.

Le projet OpenSSL indique que des mises à jour pour les versions 1.0.1 et 1.0.2 d'OpenSSL seront publiées jeudi prochain afin de combler la mystérieuse vulnérabilité. Respectivement, elles prennent actuellement en charge TLS v1.1 et TLS v1.2. Il faudra alors compter sur une bonne réactivité des administrateurs système et développeurs.

À ce stade, le seul véritable indice est qu'une vulnérabilité de sécurité à l'importance élevée peut couvrir des problèmes comme un déni de service pour un serveur, une fuite de mémoire significative et une exécution de code à distance. Suspense…

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1849000
Bon, bah, ça va être patché, pas la peine de paniquer....


Le #1849004
lebonga a écrit :

Bon, bah, ça va être patché, pas la peine de paniquer....


Encore faut il que le correctif soit appliqué
Le #1849009
chibre >>>après, t'es admin ou pas... Bien d'ac' avec toi...
Le #1849016
Oui, encore faut il que la màj soit faites, et quand on connais la réactivité de certains admin sys.. C'est pas rassurant.
Le #1849022
Safirion a écrit :

Oui, encore faut il que la màj soit faites, et quand on connais la réactivité de certains admin sys.. C'est pas rassurant.


Ce n'est pas l'admin sys qui comble les failles mais les développeurs. Et dans le monde du "Libre" c'est très réactif. Suffit de voir à quelle vitesse ils l'ont fait pour la dernière faille trouvée dans OpenSSH. C'est l'avantage de l'open source par rapport aux "boites noires" des OS proprios
Le #1849027
MDR, t'inquiètes, j'suis bien placé pour le savoir étant dév
Le #1849029
Ulysse2K a écrit :

Safirion a écrit :

Oui, encore faut il que la màj soit faites, et quand on connais la réactivité de certains admin sys.. C'est pas rassurant.


Ce n'est pas l'admin sys qui comble les failles mais les développeurs. Et dans le monde du "Libre" c'est très réactif. Suffit de voir à quelle vitesse ils l'ont fait pour la dernière faille trouvée dans OpenSSH. C'est l'avantage de l'open source par rapport aux "boites noires" des OS proprios


L'admin réseau peut très bien faire la maj des serveurs et renouveler les certificats . Ca doit forcement être dans ses cordes
Le #1849059
chibre a écrit :

Ulysse2K a écrit :

Safirion a écrit :

Oui, encore faut il que la màj soit faites, et quand on connais la réactivité de certains admin sys.. C'est pas rassurant.


Ce n'est pas l'admin sys qui comble les failles mais les développeurs. Et dans le monde du "Libre" c'est très réactif. Suffit de voir à quelle vitesse ils l'ont fait pour la dernière faille trouvée dans OpenSSH. C'est l'avantage de l'open source par rapport aux "boites noires" des OS proprios


L'admin réseau peut très bien faire la maj des serveurs et renouveler les certificats . Ca doit forcement être dans ses cordes


Lorsque je me suis mis à Linux (1992), je me suis documenté à tour de bras, j'ai lu et relu pas mal de choses pour essayer de le comprendre et de le maîtriser. Le mon Unix m'étant inconnu à cette époque. Bref, un jour j'ai lu : "Vous avez installé Linux, donc vous êtes administrateur réseau"

Hormis que cette phrase à flatté mon Ego et que j'ai failli m'étrangler avec ma cravate suite à mon cou qui s'est mis à gonfler d'un coup, c'est après avoir suivit des cours et passer des examens que j'ai vraiment compris qu'admin réseau c'était vraiment autre chose que de savoir configurer un "bête" serveur Apache, Samba ou Mail.

Il est donc clair, que l'Admin réseau (j'ai mis une majuscule pour m'envoyer des fleurs ) peut contribuer à combler des failles indirectement
Le #1849062
Bien sûr que l'admin réseau doit combler les failles... en mettant à jour ses équipements ! Et je vous garantis que c'est pas fait en 2mn...
Le #1849070
Un problème clodlaser ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]