tag:linuxfr.org,2005:/users/burpsLinuxFr.org : les contenus de Burps2014-04-17T22:35:24+02:00/favicon.pngtag:linuxfr.org,2005:News/352642014-04-08T10:57:54+02:002014-04-08T17:37:58+02:00Nouvelle vulnérabilité dans l’implémentation OpenSSLLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Une vulnérabilité dans l’implémentation de l’extension <em>heartbeat</em> (RFC 6520) d’OpenSSL a été découverte conjointement par une équipe de chercheurs en sécurité (Riku, Antti and Matti) à <em>Codenomicon</em> et Neel Mehta de Google Securité. On retrouve ici un vieux bogue des familles : le <em>read overrun</em>.</p>
<p>OpenSSL 1.0.1, jusqu’à 1.0.1f inclus, et OpenSSL 1.0.2-beta1 sont affectés. Ce sont les versions utilisées dans la plupart des distributions.</p>
<p>Cette dernière permet la lecture de 64 Kio dans la mémoire des clients et serveurs affectés (mais l’attaque peut être rejouée à chaque <em>heartbeat</em>), autorisant la lecture de données comme les clés privées et, bien sûr, les données échangées une fois ces dernières retrouvées (et ce, même en mode hors ligne s’il n’y avait pas de <em>forward secrecy</em> utilisé).</p>
<p>Il est difficile, voire impossible, de faire une détection <em>post‐mortem</em> d’infiltration, l’attaque ne laissant pas d’entrée suspecte dans le journal système.</p>
<p>Passer à OpenSSL 1.0.1g, redémarrer tous les services utilisant <em>libssl</em> et remplacer l’intégralité de ses certificats (la clef privée étant vulnérable) est donc nécessaire.</p></div><ul><li>lien nᵒ 1 : <a title="https://www.openssl.org/news/secadv_20140407.txt" hreflang="en" href="https://linuxfr.org/redirect/90056">CVE-2014-0160</a></li><li>lien nᵒ 2 : <a title="http://heartbleed.com/" hreflang="en" href="https://linuxfr.org/redirect/90057">Détail de la vulnérabilité</a></li><li>lien nᵒ 3 : <a title="http://linuxfr.org/users/flagos/journaux/apple-le-ssl-les-goto-et-les-accolades" hreflang="fr" href="https://linuxfr.org/redirect/90058">Faille « goto fail » SSL chez Apple en février dernier</a></li><li>lien nᵒ 4 : <a title="http://linuxfr.org/users/crev/journaux/3-goto" hreflang="fr" href="https://linuxfr.org/redirect/90059">Faille « goto cleanup » chez GnuTLS en mars dernier</a></li></ul><div></div><div><a href="https://linuxfr.org/news/nouvelle-vulnerabilite-dans-l-implementation-openssl.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/101816/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/nouvelle-vulnerabilite-dans-l-implementation-openssl#comments">ouvrir dans le navigateur</a>
</p>
BurpsDavy DefaudBenoît SibaudLucas BonnetBruno Michelclaudexhttps://linuxfr.org/nodes/101816/comments.atom