La découverte d’une faille « de gravité élevée » dans OpenSSL, non encore corrigée, fait craindre un autre épisode de type Heartbleed.
OpenSSL est utilisé pour sécuriser de très nombreux sites web et services en ligne, pour mettre en œuvre les protocoles de chiffrement SSL (Secure Sockets Layer) et TLS (Transport Layer Security). Depuis l’épisode Heartbleed, au printemps 2014, cette bibliothèque logicielle cryptographique a droit à une surveillance accrue, car personne ne souhaite qu’un tel épisode se reproduise.
Malheureusement, une nouvelle faille « de gravité élevée » a été découverte dans le logiciel open source, une vulnérabilité qui n’est actuellement pas corrigée.
Le fait qu’aucun patch correctif ne soit pour le moment disponible fait craindre de toute une menace de type Heartbleed.
La bonne nouvelle, c’est que l’équipe de développement promet un correctif pour le jeudi 9 juillet 2015. Le développeur Mark J Cox a annoncé : « L’équipe de projet OpenSSL annonce la prochaine sortie des versions OpenSSL 1.0.2d et 1.0.1p ». « Ces versions seront disponibles le 9 juillet. Elles fixeront une faille de sécurité classée de gravité« élevée ».
Cette faille n’affecte que les versions 1.0.2 et 1.0.1, mais pas les moutures 1.0.0 et 0.9.8. Par contre, ces deux dernières versions ne sont plus pris en charge depuis le 31 janvier 2015.
L’expert en sécurité Graham Cluley indique qu’il est impossible de faire la lumière sur les risques occasionnés par cette vulnérabilité. L’équipe du projet OpenSSL garde les détails pour elle à l’heure actuelle, certainement pour éviter que la moindre information partagée puisse servir à ce que des personnes malveillantes exploitent cette vulnérabilité.
« Je croise les doigts pour que cette nouvelle vulnérabilité d’OpenSSL ne soit pas aussi grave que Heartbleed. Son classement comme étant de haute gravité signifie tout de même qu’elle pourrait ouvrir la porte à diverses menaces, allant de l’attaques par déni de service à l’exécution de code à distance », ajoute Graham Cluley.
Dès lors, jeudi, les administrateurs système devront patcher leurs systèmes dès que le correctif sera disponible.
Via : Theinquirer.net