Mise à jour d’OpenSSL pour corriger une vulnérabilité critique

Le projet OpenSSL publiera le 1er novembre un correctif pour une vulnérabilité critique de sa bibliothèque de sécurité open source, un événement rare auquel les développeurs d’applications et les administrateurs système devraient prêter attention.

La dernière fois qu’OpenSSL a publié un correctif de vulnérabilité critique, c’était en 2016, ont noté des chercheurs de Venafi, et ce n’est que le deuxième correctif à se voir attribuer une note critique.

On ne sait pas exactement ce que corrige OpenSSL 3.0.7. L’avis de mise à jour ne détaille pas la vulnérabilité ou les vulnérabilités. Cette information sera incluse avec la mise à jour.

OpenSSL est une boîte à outils de commandes pour Windows, Linux et macOS utilisée pour générer des clés privées, créer des demandes de signature de certificat, installer des certificats SSL/TLS et identifier les informations de certificat. En bref, elle sécurise les communications.

Ce sont les administrateurs système plus que les développeurs d’applications, qui doivent prendre action a déclaré Johannes Ullrich, doyen de la recherche au SANS Technology Institute. Les logiciels utilisant OpenSSL utilisent généralement la bibliothèque installée dans le système d’exploitation. Cependant, il existe certains cas où les développeurs incluent la bibliothèque à même leur code, auquel cas ils devront mettre à jour et distribuer une nouvelle version de celui-ci.

Après « Heartbleed », OpenSSL a mis en place des préavis comme celui qui a été publié cette semaine, a-t-il déclaré. Cela, a-t-il dit, donnera aux organisations un peu de temps pour se préparer.

« dans un premier temps, il est important d’identifier les systèmes livrés avec OpenSSL 3.0 préinstallé », a déclaré Ullrich. Le système d’exploitation doit proposer une mise à jour au moment où la vulnérabilité est rendue publique. Soyez à l’affût des mises à jour des systèmes Linux en particulier. Mais OpenSSL peut également être utilisé par d’autres. MacOS n’est pas livré avec OpenSSL par défaut, mais utilise à la place la bibliothèque LibreSSL. LibreSSL n’est pas couvert par l’annonce. Mais je trouve que les logiciels installés sur MacOS incluent parfois leur propre copie d’OpenSSL.

« Les différentes implémentations SSL/TLS sont souvent identifiables sur le réseau. Chaque implémentation a sa propre “empreinte digitale” d’options et de chiffrements qu’elle prend en charge. Vous pourrez peut-être identifier les systèmes exécutant OpenSSL 3.0 en inspectant ces empreintes digitales TLS. Les systèmes de détection d’intrusion comme Zeek peuvent être utilisés pour collecter les empreintes digitales. »

Mattias Gees, responsable des produits de conteneurs chez Venafi, a noté que les versions d’OpenSSL antérieures à 3.0 ne sont pas affectées et que de nombreux systèmes d’exploitation utilisent OpenSSL 1.1, de sorte que ces environnements ne seront pas affectés. « Cela permettra aux équipes de cybersécurité et d’exploitation de rejeter de grandes parties de leur infrastructure et, espérons-le, de réduire l’impact de cette vulnérabilité par rapport à ce qui était initialement prévu. Mais les équipes d’ingénierie de plate-forme devraient continuer à investir dans un meilleur audit de leurs environnements et de leurs dépendances pour la prochaine menace, qui n’est jamais bien loin. »

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Microsoft parsème l’IA sur Windows dans la dernière mise à jour

Microsoft a publié l'une des plus importantes mises à jour de Windows 11, la version 22H2, qui inclut l'accès à son assistant numérique alimenté par l'IA, Copilot et une série de nouvelles mises à niveau basées sur l'IA pour des applications classiques telles que Paint, Outil capture d’écran et Photos.

Une nouvelle souche de rançongiciel serait la plus rapide à exécuter le chiffrement

Une nouvelle souche de rançongiciel, considérée comme le maliciel de chiffrement le plus rapide à s'exécuter, a été découverte. 

Une jeune pousse torontoise testera sa solution de distribution de clés à l’épreuve du quantique

Le gouvernement fédéral donne à une jeune pousse de Toronto l'occasion de prouver que sa nouvelle technologie pourrait aider à protéger les communications canadiennes cryptées d'aujourd'hui contre le piratage par des ordinateurs quantiques.

Reddit sur sa violation de données : « L’humain est souvent le maillon le plus faible de la chaîne de sécurité »

Les experts en cybersécurité disent depuis longtemps que les attaquants n'ont besoin d'avoir de la chance qu'une seule fois, alors que les organisations doivent avoir de la chance à chaque fois qu'il y a une attaque.

PrestaShop exhorte les administrateurs à mettre à jour l’application

Les administrateurs de sites de commerce électronique utilisant la plate-forme open-source PrestaShop ont été avisés de mettre à jour l'application immédiatement pour éliminer de graves vulnérabilités.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.