Nouvelles mises à jour de sécurité pour OpenSSL
Publié par David Feugey le | Mis à jour le
Des versions rénovées d'OpenSSL sont proposées au public. Elles corrigent plusieurs failles, dont une qui permet d'altérer le niveau de sécurité des transferts.
Nouvelle série de mises à jour de sécurité pour OpenSSL, une offre particulièrement populaire dans le monde des serveurs. Les versions 0.9.8zg, 1.0.0s, 1.0.1n et 1.0.2b de cette solution sont livrées aujourd'hui.
Au menu, la correction de 6 failles de sécurité, dont une seule pourra être considérée comme grave. Cette dernière permet d'abaisser le niveau de sécurité du protocole TLS lors d'une attaque de type man-in-the-middle. Les transferts demeurent sécurisés, mais à un niveau plus faible qu'attendu, ce qui ouvre la voie à un décryptage plus aisé des données, quoique hors de portée des moyens informatiques traditionnels.
Les autres failles corrigées aujourd'hui provoquent le plantage d'OpenSSL, chose qui pourra être utilisée dans le cadre d'attaques par déni de service, mais qui ne met pas en danger la sécurité des informations chiffrées via cet outil.
Pensez à mettre à jour vos serveurs web
Depuis la découverte de la faille Heartbleed (voir notre article « Heartbleed : la faille qui met OpenSSL, et la NSA, sur la sellette »), le modèle de développement d'OpenSSL a été largement contesté. Divers forks sont apparus, comme LibreSSL (OpenBSD) ou BoringSSL (Google).
OpenSSL reste toutefois largement présent dans le monde des serveurs Linux, massivement utilisés sur la Toile. Fort heureusement, des mises à jour d'OpenSSL sont d'ores et déjà accessibles sur les offres Linux les plus courantes.
À lire aussi :
Avec LibreSSL, l'équipe d'OpenBSD reprend la main sur OpenSSL
Après Heartbleed, Google livre BoringSSL son fork OpenSSL
Google migre Chrome vers BoringSSL, dérivé d'OpenSSL