Sécurité IT : OpenSSL passe en mode correction

Cloud
openssl-8-failles

Les administrateurs de serveurs sont invités à installer la dernière mise à jour d’OpenSSL, qui corrige 8 failles permettant notamment des attaques par déni de service.

OpenSSL reste sous haute surveillance après l’épisode Heartbleed survenu au printemps dernier. La bibliothèque open source de chiffrement fait notamment l’objet d’un audit mis en place par la Core Infrastructure Initiative, qui fédère de grands acteurs de la sphère IT autour de la Fondation Linux.

Les travaux menés en collaboration avec le groupe chargé du développement d’OpenSSL ont mené à la découverte de 8 vulnérabilités supplémentaires, aujourd’hui corrigées par une mise à jour vivement recommandée aux administrateurs de serveurs… quand bien même aucune faille n’est classée critique.

Deux brèches sont considérées d’une importance « modérée ». La première est répertoriée CVE-2014-3571. Les porteurs du projet OpenSSL en ont connaissance depuis le 22 octobre 2014, après un avertissement lancé par un chercheur en sécurité chez l’équipementier réseau Cisco.

Le problème se situe dans l’implémentation du protocole UDP DTLS (Datagram Transport Layer Security Protocol), majoritairement utilisé par des applications offrant des fonctionnalités de visioconférence éventuellement associées à des solutions VPN pour l’interconnexion de sites distants. Une erreur de segmentation lors de la négociation (« handshake ») de messages DTLS peut entraîner des attaques par déni de service (DoS).

Cette faille touche les versions 0.9.8, 1.0.0* et 1.0.1 d’OpenSSL, respectivement mises à niveau en moutures 0.9.8zd, 1.0.0p et 1.0.1k. La liste est moins longue pour la CVE-2015-0206, qui peut entraîner, sur OpenSSL 1.0.0 et 1.0.1, un dépassement de capacité mémoire dans la fonction dtls1_buffer_record. Le dénommé Chris Müller l’a révélée ce 7 janvier en proposant immédiatement un correctif.

Pour ceux qui souhaiteraient éviter d’avoir à faire une mise à jour complète, il est possible de remplacer les bibliothèques incriminées, dont LibReSSL. Dans tous les cas, il n’y a pas de comparaison, en termes de gravité, avec la faille Heartbleed, qui exposait des données sensibles – comme des clés de chiffrement – via le protocole TLS.

Les autres failles sont d’une importance jugée faible. Illustration avec la CVE-2014-359, relative à l’option no-ssl3, laquelle permet de désactiver la prise en charge de SSL v3. D’autres brèches sont liées à la vérification de certificats électroniques ou encore à l’utilisation de clés de chiffrement temporaires… non sécurisées.

* Les versions 0.9.8 et 1.0.0 d’OpenSSL ne seront plus supportées à partir du 31 janvier 2015.

—— A voir aussi ——
Quiz ITespresso.fr : expert en connectique ?

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur