Actualité serveur / sécurité / infogérance

DigDeo vous tient informé

Faiblesse d’OpenSSL CVE-2015-1793

on 10 juillet 2015 No comments

La librairie OpenSSL servant de base à la sécurisation de beaucoup de flux pour les sites internet, la messagerie et d’autres services a une nouvelle fois été mise à mal.

Néanmoins il s’agit plus d’une faiblesse d’une des sécurités implémenté récemment que d’une véritable faille. En effet depuis quelques versions OpenSSL va tenter de trouver une chaîne de certification de remplacement si le cheminement normal échoue. Mais la tentative de recherche de chaîne de remplacement comporte une faiblesse qui pourrait permettre à un attaquant de lever certaines vérifications sur des certificats tiers comme ceux de l’autorité de certification.

Le risque c’est de faire accepter un certificat non valide ou auto signé pour permettre un accès MITM Man In The Middle pour intercepter les communications.

Les versions affectées par cette faiblesse sont : OpenSSL 1.0.1n, 1.0.1o, 1.0.2b et 1.0.2c

Les versions corrigeant ce problèmes sont 1.0.1p et 1.0.2d.

Bien entendu la mise à jour quotidienne avec l’infogérance des serveurs de nos clients a permis de corriger la faiblesse en quelques minutes une fois les correctifs disponibles.

Faiblesse d’OpenSSL CVE-2015-1793

Related Posts

Take a look at these posts

Join the conversation