OpenSSL : bug de sécurité critique pour la bibliothèque de chiffrement

Le par  |  10 commentaire(s)
Heartbleed-bug-logo

Largement déployée sur le Web, certaines versions de la bibliothèque de chiffrement OpenSSL sont affectées par une vulnérabilité découverte dans l'implémentation du protocole TLS.

La bibliothèque open source de chiffrement OpenSSL est déployée dans de nombreuses distributions Linux et se retrouve dans OS X. Elle est aussi utilisée par plusieurs serveurs Web populaires dont Apache et Nginx, des plateformes de cloud telles que CloudFlare.

Le projet OpenSSL sonne l'alerte au sujet d'une vulnérabilité qui affecte les versions 1.0.1 à 1.0.1f (ainsi que 1.0.2-beta). Le cas échéant, une mise à jour OpenSSL 1.0.1g est à appliquer sans tarder par les administrateurs d'un serveur qui doivent également révoquer des clés pour en produire de nouvelles.

Le bug de sécurité - qui est un problème d'implémentation - a été découvert par des chercheurs de Codenomicon et un chercheur de Google Security. Selon le projet OpenSSL, un manque de vérification de rebonds dans l'extension heartbeat de TLS peut être utilisé pour dévoiler en clair jusqu'à 64 ko de données de mémoire d'un client connecté ou serveur.

Heartbleed-bugCodenomicon écrit que l'exploitation de ce qui est baptisé " bug Heartbleed " permet à " quiconque sur Internet de lire la mémoire de systèmes protégés par des versions vulnérables d'OpenSSL ", et évoque la compromission des clés secrètes utilisées pour identifier le fournisseur de service et chiffrer le trafic, les noms et mots de passe des utilisateurs.

Des explications plutôt inquiétantes comme tout ce qui touche aux communications via HTTPS avec bien souvent l'implémentation en maillon faible. Le bug a été introduit dans OpenSSL en décembre 2011. Il est dans la nature depuis la publication d'OpenSSL 1.0.1 en mars 2012.

Codenomicon propose en outre une liste des systèmes d'exploitation qui ont été livrés avec une version vulnérable d'OpenSSL : Debian Wheezy (stable), Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3 et 5.4, FreeBSD 8.4 et 9.1, NetBSD 5.0.2, openSUSE 12.2.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1709892
Les màjs sont dispos pour la majorité des distributions depuis hier soir. Pour ceux qui ne peuvent pas mettre à jour via leur gestionnaire de paquet, il faut recompiler openssl avec l'option de build -DOPENSSL_NO_HEARTBEATS.

Et penser à re-générer (edit: et révoquer les anciens) tous les certificats qui sont potentiellement compromis. youpi
Le #1710242
lidstah a écrit :

Les màjs sont dispos pour la majorité des distributions depuis hier soir. Pour ceux qui ne peuvent pas mettre à jour via leur gestionnaire de paquet, il faut recompiler openssl avec l'option de build -DOPENSSL_NO_HEARTBEATS.

Et penser à re-générer tous les certificats qui sont potentiellement compromis. youpi


bah c est pas ca qui va surcharger les admins linux non plus hein... vu ce qu il y a a faire a cote comme administration sur un serveur linux...
Le #1710442
tower41000 a écrit :

lidstah a écrit :

Les màjs sont dispos pour la majorité des distributions depuis hier soir. Pour ceux qui ne peuvent pas mettre à jour via leur gestionnaire de paquet, il faut recompiler openssl avec l'option de build -DOPENSSL_NO_HEARTBEATS.

Et penser à re-générer tous les certificats qui sont potentiellement compromis. youpi


bah c est pas ca qui va surcharger les admins linux non plus hein... vu ce qu il y a a faire a cote comme administration sur un serveur linux...


uhuh. Par contre, celui qui a commit le changement incriminé dans la lib openssl, il va se faire méchamment tirer les oreilles
Le #1710512
lidstah a écrit :

tower41000 a écrit :

lidstah a écrit :

Les màjs sont dispos pour la majorité des distributions depuis hier soir. Pour ceux qui ne peuvent pas mettre à jour via leur gestionnaire de paquet, il faut recompiler openssl avec l'option de build -DOPENSSL_NO_HEARTBEATS.

Et penser à re-générer tous les certificats qui sont potentiellement compromis. youpi


bah c est pas ca qui va surcharger les admins linux non plus hein... vu ce qu il y a a faire a cote comme administration sur un serveur linux...


uhuh. Par contre, celui qui a commit le changement incriminé dans la lib openssl, il va se faire méchamment tirer les oreilles


bah ses patches seront verifies et reverifies...

pas sur que ca soit un accident non plus, ce bug...
Le #1710522
tower41000 a écrit :

lidstah a écrit :

tower41000 a écrit :

lidstah a écrit :

Les màjs sont dispos pour la majorité des distributions depuis hier soir. Pour ceux qui ne peuvent pas mettre à jour via leur gestionnaire de paquet, il faut recompiler openssl avec l'option de build -DOPENSSL_NO_HEARTBEATS.

Et penser à re-générer tous les certificats qui sont potentiellement compromis. youpi


bah c est pas ca qui va surcharger les admins linux non plus hein... vu ce qu il y a a faire a cote comme administration sur un serveur linux...


uhuh. Par contre, celui qui a commit le changement incriminé dans la lib openssl, il va se faire méchamment tirer les oreilles


bah ses patches seront verifies et reverifies...

pas sur que ca soit un accident non plus, ce bug...


Exactement ce qu'on se disait au bureau ici...
Le #1710592
J'en connais qui va prendre sa voiture pour aller patcher ses serveurs à la main parce qu'en remote c'est pas sûr...
Le #1710692
oldjohn a écrit :

J'en connais qui va prendre sa voiture pour aller patcher ses serveurs à la main parce qu'en remote c'est pas sûr...


ah oui? qui ca?

sinon tu connais le principe d une mise a jour auto, je suppose?

ca n a rien a voir avec un patch, on est pas chez MS hein ...
Le #1711472
oldjohn a écrit :

J'en connais qui va prendre sa voiture pour aller patcher ses serveurs à la main parce qu'en remote c'est pas sûr...


Bof, cron. et la mise à jour (pour debian du moins) a la bonne idée de relancer les services utilisant openssl, automagiquement. Par contre les certifs, faut se les fader à la main
Le #1714342
lidstah a écrit :

Les màjs sont dispos pour la majorité des distributions depuis hier soir. Pour ceux qui ne peuvent pas mettre à jour via leur gestionnaire de paquet, il faut recompiler openssl avec l'option de build -DOPENSSL_NO_HEARTBEATS.

Et penser à re-générer (edit: et révoquer les anciens) tous les certificats qui sont potentiellement compromis. youpi


Comment faites vous pour recompiler avec l'option -DOPENSSL_NO_HEARTBEATS ?

Débutant en détresse


Le #1715952
SummerFrog a écrit :

lidstah a écrit :

Les màjs sont dispos pour la majorité des distributions depuis hier soir. Pour ceux qui ne peuvent pas mettre à jour via leur gestionnaire de paquet, il faut recompiler openssl avec l'option de build -DOPENSSL_NO_HEARTBEATS.

Et penser à re-générer (edit: et révoquer les anciens) tous les certificats qui sont potentiellement compromis. youpi


Comment faites vous pour recompiler avec l'option -DOPENSSL_NO_HEARTBEATS ?

Débutant en détresse


tu es sous quelle distribution? .?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]