Les administrateurs de serveur sont vivement invités à faire la mise à jour d'OpenSSL. En effet, la dernière version corrige huit vulnérabilités dont deux pourraient permettre des attaques DDoS par déni de service. Les failles ont été qualifiées de modérées à faibles, contrairement à la vulnérabilité Heartbleed découverte l'an dernier qui aurait pu permettre à des attaquants de voler des informations sensibles, y compris des clés de chiffrement de serveurs. Néanmoins, « les administrateurs système devraient prévoir de mettre à jour assez rapidement leurs instances de serveur sur lesquelles tournent OpenSSL », a déclaré avant le week-end par courriel Tod Beardsley, le directeur de l'ingénierie de Rapid7. Les dernières versions d'OpenSSL sont référencées 1.0.1k, 1.0.0p et 0.9.8zd. Les deux vulnérabilités exposant à des attaques par déni de service - CVE-2014-3571 et CVE-2015-0206 - affectent uniquement l'intégration du protocole DTLS (Datagram Transport Layer Security Protocol) dans OpenSSL, beaucoup moins utilisé que le protocole TLS (Transport Layer Security).
Le DTLS prend en charge le cryptage des communications de protocoles de datagramme comme l'UDP et il est utilisé pour le VPN (réseaux privés virtuels) et le WebRTC (Real-Time Web Communication). « Afin d'assurer la fiabilité du service, OpenSSL devrait être mis à jour ou remplacé par des bibliothèques SSL dépourvues de ces défauts, comme le LibReSSL », a déclaré Tod Beardsley. Les autres failles concernent le TLS et peuvent se traduire par un comportement inattendu lorsque OpenSSL inclut l'option no-ssl3. Dans ce cas, le serveur accepte les certificats DH (Diffie-Hellman) pour l'authentification client sans le certificat de vérification du message et le client accepte un handshake ECDH même en l'absence du message d'échange de la clé du serveur, c'est-à-dire que la fonction FPS de confidentialité de transmission de l'algorithme est ignorée. « Nous continuons à explorer les failles rendues publiques aujourd'hui », a déclaré le directeur de l'ingénierie de Rapid7. « Même si, à premier abord, ces vulnérabilités ne semblent pas permettre l'exécution de code à distance ou la divulgation d'informations, nous informerons l'équipe d'OpenSSL si nous repérons d'autres vecteurs d'attaques ».
OpenSSL corrige 8 nouvelles vulnérabilités
0
Réaction
La gravité des failles dans OpenSSL est qualifiée de modérée à faible, mais il est conseillé aux administrateurs de serveurs de faire la mise à jour.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire