Une nouvelle faille critique dans GnuTLS permet l'exécution du code malveillant
Les correctifs doivent être appliqués d'urgence

Le , par Hinault Romaric, Responsable .NET
Après la faille Heartbleed d’OpenSSL, l’écosystème de la sécurité sur internet est à nouveau touché par une autre faille importante dans un outil de chiffrement open source.

Des chercheurs de Codenomicon, la firme à l’origine de l’identification de la faille dans OpenSSL, ont découvert une vulnérabilité critique dans GnuTLS, une bibliothèque populaire pour la gestion des certificats électroniques et l'implémentation des protocoles SSL & TLS sous Linux.

GnuTLS, bien que ne jouissant pas de la même notoriété qu’OpenSSL est utilisé par plusieurs distributions Linux populaires, notamment Red Hat, Debian et Ubuntu, ainsi que dans des centaines d’autres solutions open source.

La faille se situera au niveau de la façon dont GnuTLS analyse les identifiants de session des messages ServerHello du « handshake » de TLS/SSL. Un serveur malveillant pourrait exploiter cette faille en envoyant un ID de session trop long lorsqu’il établit une connexion HTTP chiffrée, qui entrainera un dépassement de tampon dans une application cliente utilisant GnuTLS.

Selon les chercheurs, cette manœuvre aura pour conséquence le plantage de l’application ou l’exécution du code arbitraire.

Une analyse technique dans un billet de blog a présenté comment la vulnérabilité pouvait être exploitée pour exécuter du code malveillant. Pour l’instant, il n’y a pas de signes que la faille soit activement exploitée par les pirates. Néanmoins, les utilisateurs des GnuTLS sont invités à vérifier s’ils n’exécutent pas une version vulnerable et à prendre les mesures nécessaires.

Nikos Mavrogiannopoulos, architecte en chef du projet GnuTLS et ingénieur chez Red Hat, a publié un correctif de sécurité en fin de semaine dernière, qui a été intégré dans les mises à jour GnuTLS 3.1.25, GnuTLS 3.2.15 et GnuTLS 3.3.3.

Cette faille sort juste quelques mois après la découverte d’une autre faille critique dans GnuTLS. En mars dernier, Nikos Mavrogiannopoulos avait découvert lors d’un audit de GnuTLS, une faille due à une erreur de branchement GoTo dans une section du fichier verify.c.

La découverte des failles dans des projets open source critiques a poussé l’industrie de l’IT à se réunir au sein du consortium Core Infrastructure Initiative pour financer des projets open source afin de prévenir les bugs. Les projets OpenSSL, OpenSSH et le protocole NTP ont déjà bénéficié d’un premier financement.

Source : Red Hat

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de tiresias54 tiresias54 - Membre actif https://www.developpez.com
le 04/06/2014 à 10:49
ça va peut-être enfin amener les grosses boites qui se servent de l'open source sans contrepartie à investir dedans.
Avatar de Zefling Zefling - Membre émérite https://www.developpez.com
le 04/06/2014 à 12:34
Citation Envoyé par tiresias54  Voir le message
ça va peut-être enfin amener les grosses boites qui se servent de l'open source sans contrepartie à investir dedans.

Avec toutes les économies que ça leur a fait, ils peuvent bien faire ça.
Avatar de FTC56 FTC56 - Membre régulier https://www.developpez.com
le 04/06/2014 à 13:06
Je suis d'accord pour dire que ça donne une bonne raison aux grosses entreprises d'investir dans ce genre de projet ! D'ailleurs, je pense que l'OpenSource est voué, à l'avenir, à être de plus en plus soutenu par de grandes entreprises, car c'est justement l'association du financement de ces entreprises et du fait que le code soit ouvert qui permettra aux logiciels OpenSource d'avoir une qualité toujours croissante.
Offres d'emploi IT
Recherche développeur web / start-up / disponibilité immédiate
WAAH - Québec - Montréal
Développeur web collaboratif
Flow Line - Rhône Alpes - Bron (69500)
Jeune docteur deep learning H/F
3C - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil