Afin de protéger les utilisateurs contre la faille de sécurité Heartbleed, les constructeurs de serveurs se précipitent pour livrer leurs correctifs. La faille, découverte dans certains serveurs et équipements réseau, peut permettre à un hacker de voler des données critiques, y compris des mots de passe et des clés de chiffrement, dans la mémoire des systèmes exposés. Hewlett-Packard, Dell et IBM ont répertorié les produits matériels et logiciels touchés par Heartbleed sur des pages web dédiées. La faille expose ces matériels à un défaut critique découvert dans certaines versions d'OpenSSL, une bibliothèque de données qui sert à sécuriser les communications sur Internet et sur les réseaux.
Une version d'OpenSSL a été publiée depuis l'identification de la faille, mais les vendeurs de hardware se dépêchent maintenant de livrer des correctifs pour des produits qui utilisent encore l'ancienne version de la bibliothèque. Des patches firmware et logiciels sont disponibles pour les BladeSystems de HP, les serveurs AIX d'IBM, les appliances et les équipements de réseaux de Dell. Les fabricants conseillent à leurs clients de passer au crible les hyperviseurs, les systèmes d'exploitation et le middleware pour rechercher d'éventuelles vulnérabilités. Certains serveurs HP utilisent OpenSSL pour le cryptage et les communications sécurisées, et l'entreprise procède à une « vérification très scrupuleuse et complète de tous les produits » susceptibles d'être concernés par la faille Heartbleed, indique une page du support technique de HP. « Les mises à jour de sécurité sont disponibles gratuitement pour tous les clients », a déclaré un porte-parole de HP par courriel hier.
HP recherche toujours la faille dans certains équipements
Dimanche, HP avait livré des correctifs pour certaines versions de ses outils de gestion de serveur BladeSystem c-Class Onboard Administrator, Smart Update Manager et System Management Homepage qui fait tourner OpenSSL sous Linux et Windows. La semaine dernière, HP avait déclaré qu'elle n'avait pas encore identifié les équipements réseau affectés par Heartbleed, mais qu'elle continuerait à examiner tous les produits. Les serveurs PowerEdge de Dell et les produits de gestion système OpenManage ne sont pas susceptibles d'être affectés par Heartbleed. Mais dans un communiqué général sur la faille de sécurité, Dell a déclaré que la gestion du système, les appliances de sécurité et les équipements réseau étaient affectés par le bogue.
Dell finalise des correctifs pour l'appliance de gestion des appareils mobiles Kace K3000, certaines appliances réseau Foglight et un équipement réseau tournant sous le système d'exploitation réseau Networking Operating System (FTOS) de Dell. Le vendeur a déjà livré des patches pour le firmware des appliances de sécurité SonicWALL. Dell indique qu'elle tiendra à jour sa page web au fur et à mesure de la disponibilité des correctifs pour les différents produits affectés.
Un patch IBM pour AIX 6.1
IBM a identifié la faille de sécurité Heartbleed dans les serveurs AIX, qui s'appuient sur OpenSSL pour la communication entre les clusters via le protocole TLS (Transport Security Layer). Le SSL (Secure Sockets Layer) qui sert à sécuriser les communications sur Internet repose aussi sur OpenSSL. IBM a livré un correctif OpenSSL pour les serveurs tournant avec l'OS AIX 6.1 et le protocole TL9, et ceux tournant avec l'OS AIX 7.1 et le protocole TL3. IBM recommande également d'utiliser la nouvelle version d'OpenSSL sur les versions 3.4 et 3.5 du GPFS (General Parallel File System) pour AIX et Linux sur les serveurs Power et x86. Certains logiciels comme WebSphere MQ, la version 9 HF1 de Sametime Community Server et Cloudant sont affectés par la faille Heartbleed.
Enfin, dans un note, IBM suggère également aux clients exploitant des System z de s'abonner au portail de sécurité System z pour recevoir les derniers correctifs et mises à jour logicielles.