OpenSSL : une faille critique fait craindre un autre Heartbleed

La découverte d’une faille « de gravité élevée » dans OpenSSL, non encore corrigée, fait craindre un autre épisode de type Heartbleed.

OpenSSL est utilisé pour sécuriser de très nombreux sites web et services en ligne, pour mettre en œuvre les protocoles de chiffrement SSL (Secure Sockets Layer) et TLS (Transport Layer Security). Depuis l’épisode Heartbleed, au printemps 2014, cette bibliothèque logicielle cryptographique a droit à une surveillance accrue, car personne ne souhaite qu’un tel épisode se reproduise.

Malheureusement, une nouvelle faille « de gravité élevée » a été découverte dans le logiciel open source, une vulnérabilité qui n’est actuellement pas corrigée.

Le fait qu’aucun patch correctif ne soit pour le moment disponible fait craindre de toute une menace de type Heartbleed.

La bonne nouvelle, c’est que l’équipe de développement promet un correctif pour le jeudi 9 juillet 2015. Le développeur Mark J Cox a annoncé : « L’équipe de projet OpenSSL annonce la prochaine sortie des versions OpenSSL 1.0.2d et 1.0.1p ». « Ces versions seront disponibles le 9 juillet. Elles fixeront une faille de sécurité classée de gravité« élevée ».

Cette faille n’affecte que les versions 1.0.2 et 1.0.1, mais pas les moutures 1.0.0 et 0.9.8. Par contre, ces deux dernières versions ne sont plus pris en charge depuis le 31 janvier 2015.

L’expert en sécurité Graham Cluley indique qu’il est impossible de faire la lumière sur les risques occasionnés par cette vulnérabilité. L’équipe du projet OpenSSL garde les détails pour elle à l’heure actuelle, certainement pour éviter que la moindre information partagée puisse servir à ce que des personnes malveillantes exploitent cette vulnérabilité.

« Je croise les doigts pour que cette nouvelle vulnérabilité d’OpenSSL ne soit pas aussi grave que Heartbleed. Son classement comme étant de haute gravité signifie tout de même qu’elle pourrait ouvrir la porte à diverses menaces, allant de l’attaques par déni de service à l’exécution de code à distance », ajoute Graham Cluley.

Dès lors, jeudi, les administrateurs système devront patcher leurs systèmes dès que le correctif sera disponible.

Via : Theinquirer.net

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentOpportunity : 11 ans d’exploration martienne résumée en 8 minutes
Article suivantApple Watch : recul des ventes de 90% !

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here