Une nouvelle faille critique dans GnuTLS permet l'exécution du code malveillant
Les correctifs doivent être appliqués d'urgence
Le 2014-06-04 10:23:16, par Hinault Romaric, Responsable .NET
Après la faille Heartbleed d’OpenSSL, l’écosystème de la sécurité sur internet est à nouveau touché par une autre faille importante dans un outil de chiffrement open source.
Des chercheurs de Codenomicon, la firme à l’origine de l’identification de la faille dans OpenSSL, ont découvert une vulnérabilité critique dans GnuTLS, une bibliothèque populaire pour la gestion des certificats électroniques et l'implémentation des protocoles SSL & TLS sous Linux.
GnuTLS, bien que ne jouissant pas de la même notoriété qu’OpenSSL est utilisé par plusieurs distributions Linux populaires, notamment Red Hat, Debian et Ubuntu, ainsi que dans des centaines d’autres solutions open source.
La faille se situera au niveau de la façon dont GnuTLS analyse les identifiants de session des messages ServerHello du « handshake » de TLS/SSL. Un serveur malveillant pourrait exploiter cette faille en envoyant un ID de session trop long lorsqu’il établit une connexion HTTP chiffrée, qui entrainera un dépassement de tampon dans une application cliente utilisant GnuTLS.
Selon les chercheurs, cette manœuvre aura pour conséquence le plantage de l’application ou l’exécution du code arbitraire.
Une analyse technique dans un billet de blog a présenté comment la vulnérabilité pouvait être exploitée pour exécuter du code malveillant. Pour l’instant, il n’y a pas de signes que la faille soit activement exploitée par les pirates. Néanmoins, les utilisateurs des GnuTLS sont invités à vérifier s’ils n’exécutent pas une version vulnerable et à prendre les mesures nécessaires.
Nikos Mavrogiannopoulos, architecte en chef du projet GnuTLS et ingénieur chez Red Hat, a publié un correctif de sécurité en fin de semaine dernière, qui a été intégré dans les mises à jour GnuTLS 3.1.25, GnuTLS 3.2.15 et GnuTLS 3.3.3.
Cette faille sort juste quelques mois après la découverte d’une autre faille critique dans GnuTLS. En mars dernier, Nikos Mavrogiannopoulos avait découvert lors d’un audit de GnuTLS, une faille due à une erreur de branchement GoTo dans une section du fichier verify.c.
La découverte des failles dans des projets open source critiques a poussé l’industrie de l’IT à se réunir au sein du consortium Core Infrastructure Initiative pour financer des projets open source afin de prévenir les bugs. Les projets OpenSSL, OpenSSH et le protocole NTP ont déjà bénéficié d’un premier financement.
Source : Red Hat
Et vous ?
Des chercheurs de Codenomicon, la firme à l’origine de l’identification de la faille dans OpenSSL, ont découvert une vulnérabilité critique dans GnuTLS, une bibliothèque populaire pour la gestion des certificats électroniques et l'implémentation des protocoles SSL & TLS sous Linux.
GnuTLS, bien que ne jouissant pas de la même notoriété qu’OpenSSL est utilisé par plusieurs distributions Linux populaires, notamment Red Hat, Debian et Ubuntu, ainsi que dans des centaines d’autres solutions open source.
La faille se situera au niveau de la façon dont GnuTLS analyse les identifiants de session des messages ServerHello du « handshake » de TLS/SSL. Un serveur malveillant pourrait exploiter cette faille en envoyant un ID de session trop long lorsqu’il établit une connexion HTTP chiffrée, qui entrainera un dépassement de tampon dans une application cliente utilisant GnuTLS.
Selon les chercheurs, cette manœuvre aura pour conséquence le plantage de l’application ou l’exécution du code arbitraire.
Une analyse technique dans un billet de blog a présenté comment la vulnérabilité pouvait être exploitée pour exécuter du code malveillant. Pour l’instant, il n’y a pas de signes que la faille soit activement exploitée par les pirates. Néanmoins, les utilisateurs des GnuTLS sont invités à vérifier s’ils n’exécutent pas une version vulnerable et à prendre les mesures nécessaires.
Nikos Mavrogiannopoulos, architecte en chef du projet GnuTLS et ingénieur chez Red Hat, a publié un correctif de sécurité en fin de semaine dernière, qui a été intégré dans les mises à jour GnuTLS 3.1.25, GnuTLS 3.2.15 et GnuTLS 3.3.3.
Cette faille sort juste quelques mois après la découverte d’une autre faille critique dans GnuTLS. En mars dernier, Nikos Mavrogiannopoulos avait découvert lors d’un audit de GnuTLS, une faille due à une erreur de branchement GoTo dans une section du fichier verify.c.
La découverte des failles dans des projets open source critiques a poussé l’industrie de l’IT à se réunir au sein du consortium Core Infrastructure Initiative pour financer des projets open source afin de prévenir les bugs. Les projets OpenSSL, OpenSSH et le protocole NTP ont déjà bénéficié d’un premier financement.
Source : Red Hat
Et vous ?
-
tiresias54Membre actifça va peut-être enfin amener les grosses boites qui se servent de l'open source sans contrepartie à investir dedans.le 04/06/2014 à 10:49
-
ZeflingExpert confirméle 04/06/2014 à 12:34
-
Je suis d'accord pour dire que ça donne une bonne raison aux grosses entreprises d'investir dans ce genre de projet ! D'ailleurs, je pense que l'OpenSource est voué, à l'avenir, à être de plus en plus soutenu par de grandes entreprises, car c'est justement l'association du financement de ces entreprises et du fait que le code soit ouvert qui permettra aux logiciels OpenSource d'avoir une qualité toujours croissante.le 04/06/2014 à 13:06