Faille critique, mais corrigée dans la libraire de cryptage GnuTLS

Jacques Cheminat,

Un chercheur a trouvé une nouvelle faille critique dans GnuTLS, une bibliothèque de chiffrement Open Source. La vulnérabilité a été corrigée.

La loi des séries diront certains. Après la faille Heartbleed, c’est au tour de la bibliothèque de chiffrement Open Source, GnuTLS de connaître un nouveau bug critique. Cette librairie est utilisée dans de nombreuses distributions Linux comme Red Hat, Debian ou Ubuntu et la faille permet selon les spécialistes de la sécurité d’exécuter du code à distance. Cette erreur a été trouvée par Joonas Kuorilehto de Codenomicon, la société à l’origine de la découverte de la faille Heartbleed.

Il ne s’agit pas de la première faille pour la librairie de chiffrement GnuTLS. En mars dernier, en parallèle de la vulnérabilité « Gotofail » qui a touché les protocoles SSL dans les environnements Apple, la librairie de chiffrement Open Source avait subi une faille similaire dans la vérification des certificats.

Pour ce dernier bug, il est indiqué que le problème se situe « dans la façon d’analyser les identifiants de session des messages Server Hello lors d’une association (handshake) TLS/SSL. Un serveur malveillant pourrait envoyer un identifiant trop long permettant une corruption de mémoire dans l’application utilisant GnuTLS. Cela provoque des plantages et peut autoriser l’exécution de code arbitraire ». D’autres spécialistes de la sécurité ont tenté de rassurer en expliquant que cette faille restait au stade expérimental et ne semblait pas avoir été utilisée par des cybercriminels.

Un correctif déjà publié

Pour être complètement rassurant, Nikos Mavrogiannopoulos, architecte en chef de GnuTLS et ingénieur chez Red Hat, a présenté un patch pour corriger cette vulnérabilité. Le correctif a été intégré dans les versions 3.1.25, 3.2.15 et 3.3.3 de GnuTLS. Plusieurs distributions Linux ont été mises à jour par les éditeurs comme Red Hat Entreprise Linux 5 et 6, ainsi que Fedora.

Cette nouvelle affaire de faille dans des solutions Open Source de chiffrement intervient au moment où la Core Iniatitive Infrastructure (CII) a dressé sa liste de projets Open Source critique. OpenSSL arrive bien évidement en tête après la faille Heartbleed, mais l’environnement SSL/TLS devrait bénéficier des apports de l’audit prévu. Pour rappel, la CII est placée sous l’égide de la Fondation Linux et comprend plusieurs membres comme HP, Google, Facebook, Adobe, Salesforce, qui ont décidé de financer les tests et ont la volonté de mieux sécuriser les projets Open Source critiques.

A lire aussi :