En début de semaine, le projet OpenSSL avait annoncé pour aujourd'hui la publication d'une mise à jour afin de corriger dans la bibliothèque de chiffrement éponyme un bug de sécurité à l'indice de gravité élevé. Une pré-annonce toujours anxiogène lorsqu'on touche à une telle technologie largement utilisée pour les communications Internet chiffrées (HTTPS via SSL / TLS).

censure Le patch est bel et bien au rendez-vous afin de corriger OpenSSL 1.0.1 et 1.0.2 qui sont disponibles depuis le mois de juin dernier. Le projet OpenSSL rappelle au passage que le support des versions 1.0.0 et 0.9.8 (non affectées) prend fin le 31 décembre 2015.

On apprend que ledit bug de sécurité avait été rapporté le 24 juin 2015 par le projet BoringSSL qui est un fork d'OpenSSL développé par Google. Le correctif a également été confectionné par BoringSSL. L'exploitation de la vulnérabilité permet à un attaquant avec un certificat TLS non sûr de se faire passer pour une autorité de certification et ainsi espionner un autre site.

Un membre de l'équipe de développement d'OpenSSL a confié à ThreatPost que le patch nécessite une ligne de code. Il ajoute que le méchant bug affecte quiconque a installé les publications d'OpenSSL de juin et " concerne relativement peu d'entreprises ". Il juge son impact faible et aucun rapport d'une exploitation active n'a été signalé.

Nous sommes a priori loin de la panique qu'avait pu susciter Heartbleed.

Source : OpenSSL