Infos

OpenSSL corrige une vulnerabilite TLS grave

Les responsables de la bibliothèque OpenSSL, une des bibliothèques de chiffrement les plus utilisées sur Internet, ont éliminé une vulnérabilité grave qui aurait pu permettre à n’importe quel client ou serveur connecté de visualise en clair 64 Ko de mémoire.

Les détails sur cette vulnérabilité, éliminée dans la version 1.0.1g d’OpenSSL, sont maigres.

« Un contrôle de limites absent dans la gestion de l’extension Heartbeat de TLS peut permettre à un client ou serveur connecté de visualiser en clair 64 Ko de mémoire » peut-on lire dans la note de version pour OpenSSL 1.0.1g.

La bibliothèque OpenSSL est déployée dans un nombre important de systèmes d’exploitation et d’applications, dont un large éventail de distributions d’Unix et de Linux ainsi que sur OS X. Des serveurs Web répandus comme Nginx et Apache sont également touchés. Ainsi que certaines grandes applications et plateformes dans le Cloud comme CloudFlare. Les ingénieurs de la société ont développé la semaine dernière un correctif pour la vulnérabilité OpenSSL avant la divulgation des détails du bogue.

“OpenSSL est la bibliothèque de chiffrement principale utilisée par CloudFlare pour les connexions SSL/TLS. Si votre site se trouve sur CloudFlare, toute connexion à la version HTTPS du site transite par cette bibliothèque. En tant qu’un des plus grands déploiement d’OpenSSL sur Internet de nos jours, CloudFlare se doit d’être attentif et d’éliminer ce genre de bogue avant qu’il ne soit divulgué et que les attaquants ne commencent à l’exploiter et à menacer nos clients » écrivait Nick Sullivan de CloudFlare dans un billet sur un blog.

Nous encourageons tous les utilisateurs d’un serveur doté d’OpenSSL de passer à la version 1.0.1.g afin de se protéger contre cette vulnérabilité. S’agissant des versions antérieures d’OpenSSL, une recompilation avec l’option OPENSSL_NO_HEARTBEATS activée offrira une protection contre cette vulnérabilité. OpenSSL 1.0.2 sera corrigé dans la version 1.0.2-beta2.”

Les collaborateurs de Codenomicon ont compilé une série de questions fréquemment posées sur le bogue qu’ils ont baptisé vulnérabilité Heartbleed. L’explication déclare que la faille pourrait permettre à toute personne sur Internet de lire la mémoire d’une machine protégée par une version vulnérable de la bibliothèque.

« Le bogue Heartbleed permet à n’importe quel internaute de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL. Cela met en danger les clés secrètes qui permettent d’identifier les prestataires de service et de chiffrer le trafic, les noms d’utilisateur et les mots de passe et le contenu en lui-même. La vulnérabilité permet aux attaquants d’écouter les communications et de voler des données directement sur le service ou chez l’utilisateur et de prendre l’identité du service ou de l’utilisateur » lit-on dans la description.

« Il est probable que vous soyez touché directement ou non. OpenSSL est la bibliothèque de chiffrement open source et la mise en œuvre TLS la plus utilisée pour chiffrer le trafic sur Internet. Votre site de média social, le site de votre société, les sites de commerce électronique, les sites consacrés à vos loisirs, les sites depuis lesquels vous installer des logiciels et même les sites du gouvernement pourraient utiliser une version vulnérable d’OpenSSL. Bon nombre de services en ligne utilisent TLS à la pour s’identifier auprès de vous et pour protéger votre confidentialité et les transactions. Il se peut que vous utilisez des appareils en réseau dont les ouvertures de session sont protégées par cette mise en œuvre boiteuse de TLS. De plus, vous utilisez peut-être un logiciel client sur votre ordinateur qui pourrait exposer les données de votre ordinateur si vous êtes connecté aux services compromis ».

OpenSSL 1.0.1g élimine également un problème lié à un certain type d’attaque par canal auxiliaire.

« La mise en œuvre de l’échelle de Montgomery dans OpenSSL via 1.0.0I ne permet pas que certaines opérations de permutation possèdent un comportement de temps constant, ce qui permet aux utilisateurs locaux d’obtenir plus facilement des nonces ECDSA via une attaque par canal auxiliaire FLUSH+RELOAD » explique l’entrée CVE du bogue.

OpenSSL Fixes Serious TLS Vulnerability

OpenSSL corrige une vulnerabilite TLS grave

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception