OpenSSL : bug de sécurité critique pour la bibliothèque de chiffrement

Le par Jérôme G.  |  10 commentaire(s)
Heartbleed-bug-logo

Largement déployée sur le Web, certaines versions de la bibliothèque de chiffrement OpenSSL sont affectées par une vulnérabilité découverte dans l'implémentation du protocole TLS.

La bibliothèque open source de chiffrement OpenSSL est déployée dans de nombreuses distributions Linux et se retrouve dans OS X. Elle est aussi utilisée par plusieurs serveurs Web populaires dont Apache et Nginx, des plateformes de cloud telles que CloudFlare.

Le projet OpenSSL sonne l'alerte au sujet d'une vulnérabilité qui affecte les versions 1.0.1 à 1.0.1f (ainsi que 1.0.2-beta). Le cas échéant, une mise à jour OpenSSL 1.0.1g est à appliquer sans tarder par les administrateurs d'un serveur qui doivent également révoquer des clés pour en produire de nouvelles.

Le bug de sécurité - qui est un problème d'implémentation - a été découvert par des chercheurs de Codenomicon et un chercheur de Google Security. Selon le projet OpenSSL, un manque de vérification de rebonds dans l'extension heartbeat de TLS peut être utilisé pour dévoiler en clair jusqu'à 64 ko de données de mémoire d'un client connecté ou serveur.

Heartbleed-bugCodenomicon écrit que l'exploitation de ce qui est baptisé " bug Heartbleed " permet à " quiconque sur Internet de lire la mémoire de systèmes protégés par des versions vulnérables d'OpenSSL ", et évoque la compromission des clés secrètes utilisées pour identifier le fournisseur de service et chiffrer le trafic, les noms et mots de passe des utilisateurs.

Des explications plutôt inquiétantes comme tout ce qui touche aux communications via HTTPS avec bien souvent l'implémentation en maillon faible. Le bug a été introduit dans OpenSSL en décembre 2011. Il est dans la nature depuis la publication d'OpenSSL 1.0.1 en mars 2012.

Codenomicon propose en outre une liste des systèmes d'exploitation qui ont été livrés avec une version vulnérable d'OpenSSL : Debian Wheezy (stable), Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3 et 5.4, FreeBSD 8.4 et 9.1, NetBSD 5.0.2, openSUSE 12.2.


  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
lidstah Hors ligne VIP icone 6534 points
Le #1709892
Les màjs sont dispos pour la majorité des distributions depuis hier soir. Pour ceux qui ne peuvent pas mettre à jour via leur gestionnaire de paquet, il faut recompiler openssl avec l'option de build -DOPENSSL_NO_HEARTBEATS.

Et penser à re-générer (edit: et révoquer les anciens) tous les certificats qui sont potentiellement compromis. youpi
Anonyme Hors ligne VIP avatar 5696 points
Le #1710242
lidstah a écrit :

Les màjs sont dispos pour la majorité des distributions depuis hier soir. Pour ceux qui ne peuvent pas mettre à jour via leur gestionnaire de paquet, il faut recompiler openssl avec l'option de build -DOPENSSL_NO_HEARTBEATS.

Et penser à re-générer tous les certificats qui sont potentiellement compromis. youpi


bah c est pas ca qui va surcharger les admins linux non plus hein... vu ce qu il y a a faire a cote comme administration sur un serveur linux...
lidstah Hors ligne VIP icone 6534 points
Le #1710442
tower41000 a écrit :

lidstah a écrit :

Les màjs sont dispos pour la majorité des distributions depuis hier soir. Pour ceux qui ne peuvent pas mettre à jour via leur gestionnaire de paquet, il faut recompiler openssl avec l'option de build -DOPENSSL_NO_HEARTBEATS.

Et penser à re-générer tous les certificats qui sont potentiellement compromis. youpi


bah c est pas ca qui va surcharger les admins linux non plus hein... vu ce qu il y a a faire a cote comme administration sur un serveur linux...


uhuh. Par contre, celui qui a commit le changement incriminé dans la lib openssl, il va se faire méchamment tirer les oreilles
Anonyme Hors ligne VIP avatar 5696 points
Le #1710512
lidstah a écrit :

tower41000 a écrit :

lidstah a écrit :

Les màjs sont dispos pour la majorité des distributions depuis hier soir. Pour ceux qui ne peuvent pas mettre à jour via leur gestionnaire de paquet, il faut recompiler openssl avec l'option de build -DOPENSSL_NO_HEARTBEATS.

Et penser à re-générer tous les certificats qui sont potentiellement compromis. youpi


bah c est pas ca qui va surcharger les admins linux non plus hein... vu ce qu il y a a faire a cote comme administration sur un serveur linux...


uhuh. Par contre, celui qui a commit le changement incriminé dans la lib openssl, il va se faire méchamment tirer les oreilles


bah ses patches seront verifies et reverifies...

pas sur que ca soit un accident non plus, ce bug...
Fabske Hors ligne Vétéran avatar 1294 points
Le #1710522
tower41000 a écrit :

lidstah a écrit :

tower41000 a écrit :

lidstah a écrit :

Les màjs sont dispos pour la majorité des distributions depuis hier soir. Pour ceux qui ne peuvent pas mettre à jour via leur gestionnaire de paquet, il faut recompiler openssl avec l'option de build -DOPENSSL_NO_HEARTBEATS.

Et penser à re-générer tous les certificats qui sont potentiellement compromis. youpi


bah c est pas ca qui va surcharger les admins linux non plus hein... vu ce qu il y a a faire a cote comme administration sur un serveur linux...


uhuh. Par contre, celui qui a commit le changement incriminé dans la lib openssl, il va se faire méchamment tirer les oreilles


bah ses patches seront verifies et reverifies...

pas sur que ca soit un accident non plus, ce bug...


Exactement ce qu'on se disait au bureau ici...
oldjohn Hors ligne VIP icone 7372 points
Le #1710592
J'en connais qui va prendre sa voiture pour aller patcher ses serveurs à la main parce qu'en remote c'est pas sûr...
Anonyme Hors ligne VIP avatar 5696 points
Le #1710692
oldjohn a écrit :

J'en connais qui va prendre sa voiture pour aller patcher ses serveurs à la main parce qu'en remote c'est pas sûr...


ah oui? qui ca?

sinon tu connais le principe d une mise a jour auto, je suppose?

ca n a rien a voir avec un patch, on est pas chez MS hein ...
lidstah Hors ligne VIP icone 6534 points
Le #1711472
oldjohn a écrit :

J'en connais qui va prendre sa voiture pour aller patcher ses serveurs à la main parce qu'en remote c'est pas sûr...


Bof, cron. et la mise à jour (pour debian du moins) a la bonne idée de relancer les services utilisant openssl, automagiquement. Par contre les certifs, faut se les fader à la main
SummerFrog Hors ligne Héroïque avatar 662 points
Le #1714342
lidstah a écrit :

Les màjs sont dispos pour la majorité des distributions depuis hier soir. Pour ceux qui ne peuvent pas mettre à jour via leur gestionnaire de paquet, il faut recompiler openssl avec l'option de build -DOPENSSL_NO_HEARTBEATS.

Et penser à re-générer (edit: et révoquer les anciens) tous les certificats qui sont potentiellement compromis. youpi


Comment faites vous pour recompiler avec l'option -DOPENSSL_NO_HEARTBEATS ?

Débutant en détresse


Anonyme Hors ligne VIP avatar 5696 points
Le #1715952
SummerFrog a écrit :

lidstah a écrit :

Les màjs sont dispos pour la majorité des distributions depuis hier soir. Pour ceux qui ne peuvent pas mettre à jour via leur gestionnaire de paquet, il faut recompiler openssl avec l'option de build -DOPENSSL_NO_HEARTBEATS.

Et penser à re-générer (edit: et révoquer les anciens) tous les certificats qui sont potentiellement compromis. youpi


Comment faites vous pour recompiler avec l'option -DOPENSSL_NO_HEARTBEATS ?

Débutant en détresse


tu es sous quelle distribution? .?
icone Suivre les commentaires
Poster un commentaire