Grave vulnérabilité OpenSSL découverte: Heartbleed

Heartbleed

Un Bogue dénommé Heartbleed dans le cryptage SSL/TLS de OpenSSL affecte la majorité des serveurs web, forçant de nombreux administrateurs de serveurs à, une immédiate mise à jour. Dans les versions 1.01 et 1.02 bêta du protocole TLS, l’extension heartbeat présente un bug. Le bug Heartbleed permet à n’importe qui sur Internet pour lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL. Cela compromet les clés secrètes utilisées pour identifier les fournisseurs de services et à crypter le trafic, les noms et les mots de passe des utilisateurs et le contenu réel. Cela permet aux pirates d’espionner les communications, voler des données directement à partir des services et des utilisateurs et se faire passer pour les utilisateurs de ces services. Il a été identifié ces derniers jours par une équipe d’ingénieurs indépendants et Neel Mehta de Google Security, et a notamment affecté, selon certaines sources, les services Yahoo!, Tumblr ou encore Lastpass et a provoqué un peu de bruit dans la communauté sysadmin et open source et poussé les gens dans la précipitation à mettre à jour leurs propres systèmes.  A l’heure actuelle ces sites précités ont toutefois pris des mesures pour être moins vulnérables. Heureusement, un correctif a été mis à disposition. Pour toute personne intéressée, ils peuvent trouver des détails sur la façon d’améliorer et de sécuriser leur système sur une page dédiée pour le bug.

Voici une liste des distributions qui ont livrés avec la version potentiellement vulnérables OpenSSL:

Debian Wheezy ( stable ), OpenSSL 1.0.1e – 2 + deb7u4

Ubuntu 12.04.4 LTS, OpenSSL 1.0.1 – 4ubuntu5.11

CentOS 6.5, OpenSSL 1.0.1e – 15

Fedora 18, OpenSSL 1.0.1e – 4

OpenBSD 5.3 ( OpenSSL 1.0.1c 10 mai 2012 ) et 5.4 ( OpenSSL 1.0.1c 10 mai 2012 )

FreeBSD 8.4 ( OpenSSL 1.0.1e ) et 9.1 ( OpenSSL 1.0.1c )

NetBSD 5.0.2 ( OpenSSL 1.0.1e )

OpenSUSE 12.2 ( OpenSSL 1.0.1c )

Comme indiqué par les fixateurs de bugs les utilisateurs concernés doivent mettre à jour vers OpenSSL 1.0.1g. Les utilisateurs incapables de mettre immédiatement à niveau peuvent encore recompiler OpenSSL  en ajoutant l’option suivante :  - DOPENSSL_NO_HEARTBEATS. Toutes les grandes distributions GNU/Linux ont corrigé le bug et vous devez immédiatement exécuter les mises à jour pour installer le patch. Sources: linuxuser, clubic, openssl.

3 commentaires