8 nouvelles vulnérabilités OpenSSL
lun, 12/01/2015 - 11:41
Des vulnérabilités OpenSSL, voilà qui va rappeler douloureusement aux administrateurs système la faille HeartBleed.
Fort heureusement, cette fois les choses sont beaucoup moins graves, car il s'agit de vulnérabilités qualifiées de faibles ou modérées. Il n'en reste pas moins que les administrateurs système ont tout intérêt à appliquer les correctifs dès que possible.
Deux de ces vulnérabilités (CVE-2014-3571 et CVE-2015-0206) peuvent être exploitées pour provoquer des attaques en déni de service. Ces vulnérabilités sont situées dans l'implémentation du protocole DTLS qui prend en charge les paquets UDP cryptés. Ce protocole est peu utilisé, sauf en ce qui concerne les VPN (Virtual Private Networks) and et WebRTC (Web Real-Time Communication).
Les autres vulnérabilités concerne le protocole TLS. Encore lui... (Lire par exemple ici et ici) Elles peuvent générer un comportement inattendu dans le cas où OpenSSL a été compilé avec l'option no-ssl3. Dans ce cas, un serveur peut accepter des certificats DH (Diffie-Hellman) pour l'authentification client sans certificat de vérification du message, et un client peut accepter un handskahe ECDH en dépit de l'absence d'un message du serveur contenant la clé d'échange.