Un correctif pour OpenSSL élimine une nouvelle vulnérabilité

Attendez pour le logo et le site Internet dédié ; la vulnérabilité OpenSSL dangereuse attendue était grave, mais loin d’atteindre le niveau de Heartbleed ou POODLE.

Ce bogue entraîne un état de déni de service et se manifeste uniquement dans la version 1.0.2 de la bibliothèque de chiffrement utilisée partout. Une douzaine d’autres vulnérabilités (9 présentant un danger moyen et 3, faible) présentes dans des versions plus anciennes ont été également éliminées. Les utilisateurs sont invités à réaliser la mise à jour jusque laš version 1.0.2a.

"C’est une attaque [de déni de service] ; vous pouvez provoquer l’arrêt d’un client ou d’un serveur à l’aide d’un certificat mal formé" a déclaré Rich Salz, membre de l’équipe de développement d’OpenSSL. Il poursuit en ajoutant que "d’après notre politique de sécurité, une attaque DoS constitue un danger élevé".

Voici que qu’on pouvait lire dans le communiqué publié à 10 heures (heure de la côte Est des Etats-Unis) : "Si le client se connecte à un serveur sur lequel OpenSSL 1.0.2 a été installé et entame une nouvelle négociation avec une extension d’algorithme de signature non valide, la référence du pointeur NULL est éliminée. Cette caractéristique peut être exploitée dans le cadre de l’organisation d’attaques DoS contre un serveur".

David Ramos, de l’université de Stanford, a signalé le problème CVE-2014-0291 à OpenSSL le 26 février ; David Ramos possède un code d’exploitation privé pour ce bogue, mais Mark J. Cox, de l’Open Source Project, a déclaré qu’il n’avait connaissance d’aucun code d’exploitation public.

Conformément à la politique de sécurité citée ci-dessus, un bogue de déni de service, à l’instar d’une fuite de mémoire ou d’une vulnérabilité d’exécution à distance d’un code, est un événement qui entraîne la diffusion de nouvelles versions d’OpenSSL. C’est pour cette raison qu’OpenSSL fournit des notifications sur les vulnérabilités plus tôt que par le passé. Cela n’a toutefois pas empêché la spéculation sur les réseaux sociaux où on évoquait déjà l’arrivée d’un nouveau Heartbleed.

Cette politique a été publiée en septembre dernier et détermine la manière de classer les vulnérabilités (niveau de danger élevé, moyen ou faible). Les vulnérabilités qui présentent un danger moyen ne sont dévoilées qu’après la diffusion de la nouvelle version d’OpenSSL, à l’instar des vulnérabilités les plus dangereuses. Les problèmes qui présentent un niveau de danger faible sont quant à eux éliminés dans le cadre des versions en développement et parfois, dans les anciennes versions toujours prises en charge par le projet. Comme l’avait déclaré Rich Salz à Threatpost au mois de septembre : "Il est peu probable qu’un problème dont le niveau de danger est faible entraîne la diffusion d’une nouvelle version".

OpenSSL a également revu le classement de la vulnérabilité FREAK qui est désormais considérée comme une vulnérabilité sérieuse. Ce bogue qui permet à un individu malintentionné, dans certaines conditions, de ramener un serveur à une protection sur la base d’une clé de 512 bits, d’intercepter le trafic chiffré et de le déchiffrer sans efforts particuliers avait été discrètement éliminé par OpenSSL le 8 janvier. Il avait été considéré antérieurement comme un problème de niveau faible et les utilisateurs ont été invités à réaliser une mise à niveau jusqu’aux versions 1.0.1k, 1.0.0p ou 0.9.8zd, en fonction de la version qu’ils utilisent actuellement. OpenSSL a dévoilé l’existence de FREAK le 22 octobre.

Les nouveaux correctifs ont été transmis aux prestataires en aval qui vont les installer bientôt.

D’après Rich Salz, il est important d’installer le correctif car le bogue s’exploite facilement.

"Il suffit de prendre le certificat, de le lire et de le modifier afin qu’il provoque l’échec. – Du côté serveur, la situation est un peu plus risquée. Dans ce cas, il faut demander les certificats du client, ce qui ne se produit pas très souvent. La pratique est inhabituelle, mais elle permet de provoquer un crash facilement."

Rich Salz précise que la vulnérabilité concerne également les clients.

Il affirme que "les deux côtés qui vérifient la signature sont [vulnérables]. Si le serveur demande les certificats du client ou si le client vérifie le certificat du serveur, les deux parties sont vulnérables."

La majeur partie des autres erreurs éliminées par ce correctif concerne la version 1.0.1 en plus de la version 1.0.2 ; dans la mesure où la version 1.0.2 est relativement récente, la vulnérabilité dangereuse est peut-être moins répandue.

"Les nouvelles versions ne sont pas tout de suite utilisées dans les produits, [la version 1.0.2] n’est pas utilisée aussi largement que la version 1.0.1" a déclaré Rich Salz. Par rapport à certains incidents survenus dans le passé, cette vulnérabilité ne requiert pas son propre logo ou sa propre chanson. Nous avons discuté entre nous de la nécessité d’un niveau de danger plus haut que le niveau maximum actuel pour les bogues du style Heartbleed ou POODLE. Pour l’instant, nous nous contenterons d’orienter le public vers notre politique.

Source :        Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *