OpenSSL : bug de sécurité critique pour la bibliothèque de chiffrement

Largement déployée sur le Web, certaines versions de la bibliothèque de chiffrement OpenSSL sont affectées par une vulnérabilité découverte dans l'implémentation du protocole TLS.
La bibliothèque open source de chiffrement OpenSSL est déployée dans de nombreuses distributions Linux et se retrouve dans OS X. Elle est aussi utilisée par plusieurs serveurs Web populaires dont Apache et Nginx, des plateformes de cloud telles que CloudFlare.
Le projet OpenSSL sonne l'alerte au sujet d'une vulnérabilité qui affecte les versions 1.0.1 à 1.0.1f (ainsi que 1.0.2-beta). Le cas échéant, une mise à jour OpenSSL 1.0.1g est à appliquer sans tarder par les administrateurs d'un serveur qui doivent également révoquer des clés pour en produire de nouvelles.
Le bug de sécurité - qui est un problème d'implémentation - a été découvert par des chercheurs de Codenomicon et un chercheur de Google Security. Selon le projet OpenSSL, un manque de vérification de rebonds dans l'extension heartbeat de TLS peut être utilisé pour dévoiler en clair jusqu'à 64 ko de données de mémoire d'un client connecté ou serveur.
Codenomicon écrit que l'exploitation de ce qui est baptisé " bug Heartbleed " permet à " quiconque sur Internet de lire la mémoire de systèmes protégés par des versions vulnérables d'OpenSSL ", et évoque la compromission des clés secrètes utilisées pour identifier le fournisseur de service et chiffrer le trafic, les noms et mots de passe des utilisateurs.
Des explications plutôt inquiétantes comme tout ce qui touche aux communications via HTTPS avec bien souvent l'implémentation en maillon faible. Le bug a été introduit dans OpenSSL en décembre 2011. Il est dans la nature depuis la publication d'OpenSSL 1.0.1 en mars 2012.
Codenomicon propose en outre une liste des systèmes d'exploitation qui ont été livrés avec une version vulnérable d'OpenSSL : Debian Wheezy (stable), Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3 et 5.4, FreeBSD 8.4 et 9.1, NetBSD 5.0.2, openSUSE 12.2.
-
Le projet OpenSSL demande de se préparer à la proche venue d'un patch pour combler une vulnérabilité de sécurité à l'importance jugée élevée.
-
Ce n'est pas Heartbleed mais de nouvelles vulnérabilités ont été identifiées - et corrigées - dans OpenSSL. Six failles dont deux critiques. L'une d'elles était présente dans le code depuis plus de 15 ans.
Vos commentaires
Et penser à re-générer (edit: et révoquer les anciens) tous les certificats qui sont potentiellement compromis. youpi
bah c est pas ca qui va surcharger les admins linux non plus hein... vu ce qu il y a a faire a cote comme administration sur un serveur linux...
uhuh. Par contre, celui qui a commit le changement incriminé dans la lib openssl, il va se faire méchamment tirer les oreilles
bah ses patches seront verifies et reverifies...
pas sur que ca soit un accident non plus, ce bug...
Exactement ce qu'on se disait au bureau ici...
ah oui? qui ca?
sinon tu connais le principe d une mise a jour auto, je suppose?
ca n a rien a voir avec un patch, on est pas chez MS hein ...
Bof, cron. et la mise à jour (pour debian du moins) a la bonne idée de relancer les services utilisant openssl, automagiquement. Par contre les certifs, faut se les fader à la main
Comment faites vous pour recompiler avec l'option -DOPENSSL_NO_HEARTBEATS ?
Débutant en détresse
tu es sous quelle distribution? .?