Mise à jour d’OpenSSL pour corriger une vulnérabilité critique

Le projet OpenSSL publiera le 1er novembre un correctif pour une vulnérabilité critique de sa bibliothèque de sécurité open source, un événement rare auquel les développeurs d’applications et les administrateurs système devraient prêter attention.

La dernière fois qu’OpenSSL a publié un correctif de vulnérabilité critique, c’était en 2016, ont noté des chercheurs de Venafi, et ce n’est que le deuxième correctif à se voir attribuer une note critique.

On ne sait pas exactement ce que corrige OpenSSL 3.0.7. L’avis de mise à jour ne détaille pas la vulnérabilité ou les vulnérabilités. Cette information sera incluse avec la mise à jour.

OpenSSL est une boîte à outils de commandes pour Windows, Linux et macOS utilisée pour générer des clés privées, créer des demandes de signature de certificat, installer des certificats SSL/TLS et identifier les informations de certificat. En bref, elle sécurise les communications.

Ce sont les administrateurs système plus que les développeurs d’applications, qui doivent prendre action a déclaré Johannes Ullrich, doyen de la recherche au SANS Technology Institute. Les logiciels utilisant OpenSSL utilisent généralement la bibliothèque installée dans le système d’exploitation. Cependant, il existe certains cas où les développeurs incluent la bibliothèque à même leur code, auquel cas ils devront mettre à jour et distribuer une nouvelle version de celui-ci.

Après « Heartbleed », OpenSSL a mis en place des préavis comme celui qui a été publié cette semaine, a-t-il déclaré. Cela, a-t-il dit, donnera aux organisations un peu de temps pour se préparer.

« dans un premier temps, il est important d’identifier les systèmes livrés avec OpenSSL 3.0 préinstallé », a déclaré Ullrich. Le système d’exploitation doit proposer une mise à jour au moment où la vulnérabilité est rendue publique. Soyez à l’affût des mises à jour des systèmes Linux en particulier. Mais OpenSSL peut également être utilisé par d’autres. MacOS n’est pas livré avec OpenSSL par défaut, mais utilise à la place la bibliothèque LibreSSL. LibreSSL n’est pas couvert par l’annonce. Mais je trouve que les logiciels installés sur MacOS incluent parfois leur propre copie d’OpenSSL.

« Les différentes implémentations SSL/TLS sont souvent identifiables sur le réseau. Chaque implémentation a sa propre “empreinte digitale” d’options et de chiffrements qu’elle prend en charge. Vous pourrez peut-être identifier les systèmes exécutant OpenSSL 3.0 en inspectant ces empreintes digitales TLS. Les systèmes de détection d’intrusion comme Zeek peuvent être utilisés pour collecter les empreintes digitales. »

Mattias Gees, responsable des produits de conteneurs chez Venafi, a noté que les versions d’OpenSSL antérieures à 3.0 ne sont pas affectées et que de nombreux systèmes d’exploitation utilisent OpenSSL 1.1, de sorte que ces environnements ne seront pas affectés. « Cela permettra aux équipes de cybersécurité et d’exploitation de rejeter de grandes parties de leur infrastructure et, espérons-le, de réduire l’impact de cette vulnérabilité par rapport à ce qui était initialement prévu. Mais les équipes d’ingénierie de plate-forme devraient continuer à investir dans un meilleur audit de leurs environnements et de leurs dépendances pour la prochaine menace, qui n’est jamais bien loin. »

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

PrestaShop exhorte les administrateurs à mettre à jour l’application

Les administrateurs de sites de commerce électronique utilisant la plate-forme open-source PrestaShop ont été avisés de mettre à jour l'application immédiatement pour éliminer de graves vulnérabilités.

Le NIST identifie quatre outils de chiffrement résistant au quantique

Le National Institute of Standards and Technology (NIST) des États-Unis a choisi le premier groupe d'outils de chiffrement qui, selon lui, résistera à l'assaut d'un futur ordinateur quantique, une décision saluée par la cyberagence du gouvernement canadien.

Correctif de sécurité pour les commutateurs Avaya et Aruba

Après la découverte de cinq vulnérabilités logicielles critiques, les administrateurs de réseau disposant de certains modèles de commutateurs Extreme Networks d’Avaya et HPE d’Aruba dans leur environnement sont invités à mettre à jour les appareils dès que possible.

Ukraine : ESET découvre un quatrième logiciel effaceur

Un quatrième type de logiciel effaceur de données et une fausse mise à jour antivirus Windows utilisés contre des organisations de l’Ukraine ont été découverts par des chercheurs en sécurité informatique de la firme ESET.

Mordre à l’hameçon peut avoir un coût amer

Mordre à un courriel hameçon a mené à une attaque par rançongiciel paralysante en Irlande.