Nouvelle série de mises à jour de sécurité pour OpenSSL, une offre particulièrement populaire dans le monde des serveurs. Les versions 0.9.8zg, 1.0.0s, 1.0.1n et 1.0.2b de cette solution sont livrées aujourd’hui.
Au menu, la correction de 6 failles de sécurité, dont une seule pourra être considérée comme grave. Cette dernière permet d’abaisser le niveau de sécurité du protocole TLS lors d’une attaque de type man-in-the-middle. Les transferts demeurent sécurisés, mais à un niveau plus faible qu’attendu, ce qui ouvre la voie à un décryptage plus aisé des données, quoique hors de portée des moyens informatiques traditionnels.
Les autres failles corrigées aujourd’hui provoquent le plantage d’OpenSSL, chose qui pourra être utilisée dans le cadre d’attaques par déni de service, mais qui ne met pas en danger la sécurité des informations chiffrées via cet outil.
Depuis la découverte de la faille Heartbleed (voir notre article « Heartbleed : la faille qui met OpenSSL, et la NSA, sur la sellette »), le modèle de développement d’OpenSSL a été largement contesté. Divers forks sont apparus, comme LibreSSL (OpenBSD) ou BoringSSL (Google).
OpenSSL reste toutefois largement présent dans le monde des serveurs Linux, massivement utilisés sur la Toile. Fort heureusement, des mises à jour d’OpenSSL sont d’ores et déjà accessibles sur les offres Linux les plus courantes.
À lire aussi :
Avec LibreSSL, l’équipe d’OpenBSD reprend la main sur OpenSSL
Après Heartbleed, Google livre BoringSSL son fork OpenSSL
Google migre Chrome vers BoringSSL, dérivé d’OpenSSL
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…