Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

OpenSSL : correction de huit failles dans la bibliothèque de chiffrement
Pouvant entrainer des attaques DoS

Le , par Michael Guilloux

0PARTAGES

3  0 
Les administrateurs sont invités à mettre à jour à nouveau OpenSSL. De nouvelles versions d’OpenSSL - 1.0.1k, 1.0.0p et 0.9.8zd - viennent de sortir pour corriger huit vulnérabilités. Deux de ces vulnérabilités, de gravité modérée, peuvent faciliter les attaques par déni de service (DoS). Cependant, elles n'affectent que l'implémentation OpenSSL du protocole DTLS, qui n'est pas aussi largement utilisé que le protocole TLS.

La première, la vulnérabilité CVE-2014-3571 est une erreur de segmentation DTLS dans dtls1_get_record. Elle se traduit par un message DTLS qui « peut provoquer une erreur de segmentation dans OpenSSL due à une référence de pointeur NULL et pourrait conduire à une attaque DoS. » Les versions 1.0.1, 1.0.0 et 0.9.8 d’OpenSSL sont affectées par ce problème.

La deuxième vulnérabilité de sévérité modérée, CVE-2015-0206, est une fuite de mémoire dans DTLS dtls1_buffer_record et pourrait conduire à une attaque DoS par épuisement de la mémoire. Cette fuite de mémoire « peut se produire dans la fonction dtls1_buffer_record sous certaines conditions », notamment « si un attaquant envoyait des enregistrements DTLS répétés avec le même numéro de séquence, mais pour la période suivante. » Ce défaut affecte les versions 1.0.1 et 1.0.0 d’OpenSSL.

Les six autres vulnérabilités, CVE-2014-3569, CVE-2014-3572, CVE-2015-0204, CVE-2015-0205, CVE-2014-8275 et CVE-2014-3570, qui sont considérées comme à faible gravité, s’adressent à une variété de problèmes, dont certains impliquent des problèmes avec les certificats.

Même si ces vulnérabilités ne sont que gravité modérée ou faible, « les administrateurs système devraient prévoir de mettre à niveau leurs instances de serveur exécutant OpenSSL dans les prochains jours », a déclaré Tod Beardsley, directeur de l'ingénierie au sein du cabinet Rapid7. « Afin de maintenir un service fiable, OpenSSL devrait être mis à niveau ou remplacé par des bibliothèques SSL qui ne sont pas touchées par ces problèmes, comme LibreSSL. » A-t-il ajouté.

Par ailleurs, OpenSSL rappelle que le support pour les versions 1.0.0 et 0.9.8 prendra fin après le 31 décembre 2015, ce qui signifie que des mises à jour de sécurité ne seront plus fournies. La version 1.0.1, quant à elle, sera soutenue jusqu'au 31 décembre 2016.

Sources : SCMagazine, OpenSSL.org

Une erreur dans cette actualité ? Signalez-le nous !