OpenSSL, une bibliothèque de chiffrement largement utilisée, corrige de graves vulnérabilités

pirate

Crédit : domaine public Unsplash/CC0

Les sites Web et les entreprises qui s’appuient sur OpenSSL doivent corriger leurs systèmes dès que possible.

Le développeur d’Open SSL, une bibliothèque de chiffrement open source largement utilisée, a publié mardi un correctif pour résoudre deux problèmes de sécurité de gravité élevée qui pourraient permettre aux attaquants d’exécuter à distance un nouveau code ou de provoquer des plantages de sites Web.

OpenSSL Project a annoncé la semaine dernière une mise à jour de correctif de sécurité pour résoudre un problème initialement classé comme “critique”. Après une analyse plus approfondie, la gravité a été rétrogradée à “élevée” aujourd’hui avec la publication du correctif.

Selon OpenSSL, un problème de gravité critique si “l’exécution de code à distance est considérée comme probable dans des situations courantes”, mais l’équipe OpenSSL a déclaré qu’elle ne pensait plus que la note s’appliquait au problème.

“Nous n’avons connaissance d’aucun exploit fonctionnel qui pourrait conduire à l’exécution de code à distance, et nous n’avons aucune preuve que ces problèmes soient exploités au moment de la publication de cet article”, a déclaré OpenSSL dans un article de blog.

Les vulnérabilités n’affectent que les versions 3.0 d’OpenSSL (publiées en septembre 2021) et supérieures. Les utilisateurs sont encouragés à passer à la version 3.0.7.

“Nous considérons toujours ces problèmes comme de graves vulnérabilités et les utilisateurs concernés sont encouragés à effectuer la mise à niveau dès que possible”, a déclaré OpenSSL.

Quels problèmes OpenSSL a-t-il résolus ?

OpenSSL a corrigé deux bogues de sécurité. La faille classée à l’origine comme critique est un débordement arbitraire du stacker de 4 octets, qui pourrait permettre aux pirates d’exécuter à distance un nouveau code ou de provoquer des plantages du site Web.

“Nous n’avons connaissance d’aucun exploit fonctionnel qui pourrait conduire à l’exécution de code à distance, et nous n’avons aucune preuve que ces problèmes soient exploités au moment de la publication de ce message”, a déclaré OpenSSL.

La deuxième faille pourrait permettre aux attaquants d’envoyer des e-mails avec des certificats malveillants pour planter des sites Web.

A quoi sert OpenSSL ?

OpenSSL est une bibliothèque de codes largement utilisée pour fournir des communications sécurisées sur Internet et protéger les données sensibles telles que les e-mails, les mots de passe ou les données de carte de crédit. De nombreux serveurs Internet s’appuient sur le logiciel.

Que signifie OpenSSL ?

OpenSSL implémente les protocoles Transport Layer Security (TLS) et Secure Sockets Layer (SSL) utilisés pour chiffrer les données sensibles.

Sorti pour la première fois en 1998, le logiciel a changé de nom avant de devenir public car l’acronyme SSL était plus largement reconnu que TLS.

Quelle est la différence entre SSL et TLS ?

TLS est un protocole réseau qui établit une connexion cryptée pour protéger les informations privées envoyées sur Internet, tandis que SSL est une version antérieure et moins sécurisée.

Les internautes peuvent remarquer le cryptage TSL/SSL lorsqu’ils se connectent à leur messagerie ou à leur compte bancaire en ligne et voir une petite icône de cadenas à côté de “HTTPS”. L’icône de verrouillage signale que les tiers ne pourront pas lire les informations envoyées ou reçues.

OpenSSL est-il gratuit ?

“OpenSSL est concédé sous une licence de style Apache, ce qui signifie essentiellement que vous êtes libre de l’obtenir et de l’utiliser à des fins commerciales et non commerciales sous réserve de certaines conditions de licence simples”, selon OpenSSL.

Quelle était la faille OpenSSL Heartbleed ?

En 2014, des chercheurs en sécurité ont découvert une vulnérabilité majeure dans OpenSSL, baptisée Heartbleed. La faille permettait à quiconque de lire la mémoire des serveurs fonctionnant sur OpenSSL et des entreprises concernées telles que Yahoo, Google, Facebook et Tumblr.

Depuis lors, la dernière vulnérabilité critique dans OpenSSL a été signalée en 2016.

(c) 2022 États-Unis aujourd’hui
Distribué par Tribune Content Agency, LLC.

Citation: OpenSSL, une bibliothèque de chiffrement largement utilisée, corrige de graves vulnérabilités (2 novembre 2022) récupéré le 2 novembre 2022 sur https://techxplore.com/news/2022-11-openssl-widely-encryption-library-patches.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.