OpenSSL corrige une vulnerabilite TLS grave

Les responsables de la bibliothèque OpenSSL, une des bibliothèques de chiffrement les plus utilisées sur Internet, ont éliminé une vulnérabilité grave qui aurait pu permettre à n’importe quel client ou serveur connecté de visualise en clair 64 Ko de mémoire.

Les détails sur cette vulnérabilité, éliminée dans la version 1.0.1g d’OpenSSL, sont maigres.

« Un contrôle de limites absent dans la gestion de l’extension Heartbeat de TLS peut permettre à un client ou serveur connecté de visualiser en clair 64 Ko de mémoire » peut-on lire dans la note de version pour OpenSSL 1.0.1g.

La bibliothèque OpenSSL est déployée dans un nombre important de systèmes d’exploitation et d’applications, dont un large éventail de distributions d’Unix et de Linux ainsi que sur OS X. Des serveurs Web répandus comme Nginx et Apache sont également touchés. Ainsi que certaines grandes applications et plateformes dans le Cloud comme CloudFlare. Les ingénieurs de la société ont développé la semaine dernière un correctif pour la vulnérabilité OpenSSL avant la divulgation des détails du bogue.

“OpenSSL est la bibliothèque de chiffrement principale utilisée par CloudFlare pour les connexions SSL/TLS. Si votre site se trouve sur CloudFlare, toute connexion à la version HTTPS du site transite par cette bibliothèque. En tant qu’un des plus grands déploiement d’OpenSSL sur Internet de nos jours, CloudFlare se doit d’être attentif et d’éliminer ce genre de bogue avant qu’il ne soit divulgué et que les attaquants ne commencent à l’exploiter et à menacer nos clients » écrivait Nick Sullivan de CloudFlare dans un billet sur un blog.

Nous encourageons tous les utilisateurs d’un serveur doté d’OpenSSL de passer à la version 1.0.1.g afin de se protéger contre cette vulnérabilité. S’agissant des versions antérieures d’OpenSSL, une recompilation avec l’option OPENSSL_NO_HEARTBEATS activée offrira une protection contre cette vulnérabilité. OpenSSL 1.0.2 sera corrigé dans la version 1.0.2-beta2.”

Les collaborateurs de Codenomicon ont compilé une série de questions fréquemment posées sur le bogue qu’ils ont baptisé vulnérabilité Heartbleed. L’explication déclare que la faille pourrait permettre à toute personne sur Internet de lire la mémoire d’une machine protégée par une version vulnérable de la bibliothèque.

« Le bogue Heartbleed permet à n’importe quel internaute de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL. Cela met en danger les clés secrètes qui permettent d’identifier les prestataires de service et de chiffrer le trafic, les noms d’utilisateur et les mots de passe et le contenu en lui-même. La vulnérabilité permet aux attaquants d’écouter les communications et de voler des données directement sur le service ou chez l’utilisateur et de prendre l’identité du service ou de l’utilisateur » lit-on dans la description.

« Il est probable que vous soyez touché directement ou non. OpenSSL est la bibliothèque de chiffrement open source et la mise en œuvre TLS la plus utilisée pour chiffrer le trafic sur Internet. Votre site de média social, le site de votre société, les sites de commerce électronique, les sites consacrés à vos loisirs, les sites depuis lesquels vous installer des logiciels et même les sites du gouvernement pourraient utiliser une version vulnérable d’OpenSSL. Bon nombre de services en ligne utilisent TLS à la pour s’identifier auprès de vous et pour protéger votre confidentialité et les transactions. Il se peut que vous utilisez des appareils en réseau dont les ouvertures de session sont protégées par cette mise en œuvre boiteuse de TLS. De plus, vous utilisez peut-être un logiciel client sur votre ordinateur qui pourrait exposer les données de votre ordinateur si vous êtes connecté aux services compromis ».

OpenSSL 1.0.1g élimine également un problème lié à un certain type d’attaque par canal auxiliaire.

« La mise en œuvre de l’échelle de Montgomery dans OpenSSL via 1.0.0I ne permet pas que certaines opérations de permutation possèdent un comportement de temps constant, ce qui permet aux utilisateurs locaux d’obtenir plus facilement des nonces ECDSA via une attaque par canal auxiliaire FLUSH+RELOAD » explique l’entrée CVE du bogue.

http://threatpost.com/openssl-fixes-tls-vulnerability/105300

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *