OpenSSL : Nouvelle vulnérabilité critique et correctif

2
82

Encore une nouvelle alerte de sécurité visant OpenSSL. Un correctif sera éminemment diffusé pour éliminer une vulnérabilité jugée critique dans la bibliothèque open source dédiée au chiffrement.

Une fois de plus, les sysadmins sont invités à se tenir prêts pour patcher leur installation OpenSSL, afin de corriger une faille jugée « hautement critique ». Toutefois, pas de détails techniques révélés publiquement afin de ne pas donner d’indice aux pirates concernant l’exploitation. D’après les chercheurs, celle-ci pourrait être utilisée pour réaliser des attaques par déni de service ou encore, pour l’exfiltration de données stockées dans la mémoire du serveur ou par l’exécution de code à distance. Bref, rien de bien réjouissant…

Les versions affectées par le problème de sécurité sont OpenSSL 1.0.2 et 1.0.1. OpenSSL 1.0.0 et 0.9.8 ne sont pas concernées (mais plus pris en charge officiellement depuis le début de l’année 2015).

Grâce à la surveillance constante autour de OpenSSL par la Core Infrastructure Initiative depuis le scandale HeartBleed, l’analyse du code de la bibliothèque implémentant les protocoles SSL et TLS est constante et les patchs sont nombreux.

 

Les commentaires sont fermés.