IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une nouvelle faille critique dans GnuTLS permet l'exécution du code malveillant
Les correctifs doivent être appliqués d'urgence

Le , par Hinault Romaric

83PARTAGES

4  0 
Après la faille Heartbleed d’OpenSSL, l’écosystème de la sécurité sur internet est à nouveau touché par une autre faille importante dans un outil de chiffrement open source.

Des chercheurs de Codenomicon, la firme à l’origine de l’identification de la faille dans OpenSSL, ont découvert une vulnérabilité critique dans GnuTLS, une bibliothèque populaire pour la gestion des certificats électroniques et l'implémentation des protocoles SSL & TLS sous Linux.

GnuTLS, bien que ne jouissant pas de la même notoriété qu’OpenSSL est utilisé par plusieurs distributions Linux populaires, notamment Red Hat, Debian et Ubuntu, ainsi que dans des centaines d’autres solutions open source.

La faille se situera au niveau de la façon dont GnuTLS analyse les identifiants de session des messages ServerHello du « handshake » de TLS/SSL. Un serveur malveillant pourrait exploiter cette faille en envoyant un ID de session trop long lorsqu’il établit une connexion HTTP chiffrée, qui entrainera un dépassement de tampon dans une application cliente utilisant GnuTLS.

Selon les chercheurs, cette manœuvre aura pour conséquence le plantage de l’application ou l’exécution du code arbitraire.

Une analyse technique dans un billet de blog a présenté comment la vulnérabilité pouvait être exploitée pour exécuter du code malveillant. Pour l’instant, il n’y a pas de signes que la faille soit activement exploitée par les pirates. Néanmoins, les utilisateurs des GnuTLS sont invités à vérifier s’ils n’exécutent pas une version vulnerable et à prendre les mesures nécessaires.

Nikos Mavrogiannopoulos, architecte en chef du projet GnuTLS et ingénieur chez Red Hat, a publié un correctif de sécurité en fin de semaine dernière, qui a été intégré dans les mises à jour GnuTLS 3.1.25, GnuTLS 3.2.15 et GnuTLS 3.3.3.

Cette faille sort juste quelques mois après la découverte d’une autre faille critique dans GnuTLS. En mars dernier, Nikos Mavrogiannopoulos avait découvert lors d’un audit de GnuTLS, une faille due à une erreur de branchement GoTo dans une section du fichier verify.c.

La découverte des failles dans des projets open source critiques a poussé l’industrie de l’IT à se réunir au sein du consortium Core Infrastructure Initiative pour financer des projets open source afin de prévenir les bugs. Les projets OpenSSL, OpenSSH et le protocole NTP ont déjà bénéficié d’un premier financement.

Source : Red Hat

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de tiresias54
Membre actif https://www.developpez.com
Le 04/06/2014 à 10:49
ça va peut-être enfin amener les grosses boites qui se servent de l'open source sans contrepartie à investir dedans.
6  0 
Avatar de Zefling
Expert confirmé https://www.developpez.com
Le 04/06/2014 à 12:34
Citation Envoyé par tiresias54 Voir le message
ça va peut-être enfin amener les grosses boites qui se servent de l'open source sans contrepartie à investir dedans.
Avec toutes les économies que ça leur a fait, ils peuvent bien faire ça.
4  0 
Avatar de
https://www.developpez.com
Le 04/06/2014 à 13:06
Je suis d'accord pour dire que ça donne une bonne raison aux grosses entreprises d'investir dans ce genre de projet ! D'ailleurs, je pense que l'OpenSource est voué, à l'avenir, à être de plus en plus soutenu par de grandes entreprises, car c'est justement l'association du financement de ces entreprises et du fait que le code soit ouvert qui permettra aux logiciels OpenSource d'avoir une qualité toujours croissante.
3  0