Nouvelle série de mises à jour de sécurité pour OpenSSL, une offre particulièrement populaire dans le monde des serveurs. Les versions 0.9.8zg, 1.0.0s, 1.0.1n et 1.0.2b de cette solution sont livrées aujourd’hui.
Au menu, la correction de 6 failles de sécurité, dont une seule pourra être considérée comme grave. Cette dernière permet d’abaisser le niveau de sécurité du protocole TLS lors d’une attaque de type man-in-the-middle. Les transferts demeurent sécurisés, mais à un niveau plus faible qu’attendu, ce qui ouvre la voie à un décryptage plus aisé des données, quoique hors de portée des moyens informatiques traditionnels.
Les autres failles corrigées aujourd’hui provoquent le plantage d’OpenSSL, chose qui pourra être utilisée dans le cadre d’attaques par déni de service, mais qui ne met pas en danger la sécurité des informations chiffrées via cet outil.
Depuis la découverte de la faille Heartbleed (voir notre article « Heartbleed : la faille qui met OpenSSL, et la NSA, sur la sellette »), le modèle de développement d’OpenSSL a été largement contesté. Divers forks sont apparus, comme LibreSSL (OpenBSD) ou BoringSSL (Google).
OpenSSL reste toutefois largement présent dans le monde des serveurs Linux, massivement utilisés sur la Toile. Fort heureusement, des mises à jour d’OpenSSL sont d’ores et déjà accessibles sur les offres Linux les plus courantes.
À lire aussi :
Avec LibreSSL, l’équipe d’OpenBSD reprend la main sur OpenSSL
Après Heartbleed, Google livre BoringSSL son fork OpenSSL
Google migre Chrome vers BoringSSL, dérivé d’OpenSSL
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…