BT
x Votre opinion compte ! Merci de bien vouloir répondre au sondage InfoQ concernant vos habitudes de lecture !

Heartbleed, Vulnérabilité Majeure d'OpenSSL

par Simon Baslé le 09 avr. 2014 |

 

Une vulnérabilité majeure a été découverte et publiée le 7 avril 2014 dans la populaire librairie cryptographique OpenSSL.

Massivement utilisée sur Internet (par exemple par les serveurs Web Apache et Nginx, qui représentent près de 66% du marché des serveurs Web), la librairie implémente les protocoles d'échanges sécurisés SSL/TLS.

 

La vulnérabilité en détails

Baptisée Heartbleed ("Coeur qui saigne"), la vulnérabilité CVE-2014-0160 exploite un bug dans l'implémentation du protocole d'heartbeat ("Battement de coeur") de la branche 1.0.1, active depuis maintenant deux ans (mars 2012). Les versions 1.0.1 à 1.0.1f (incluse) sont concernées, et une versions 1.0.1g patchée est sortie pour corriger le problème. Les versions 1.0.0 et 0.98 d'OpenSSL ne sont PAS concernées.

L'attaquant exploitant Heartbleed est capable de récupérer des buffers mémoires de 64Ko, mais peut répéter l'attaque ad infinitum, sans laisser de traces identifiables dans les logs (bien qu'un système de détection d'intrusions puisse être entraîné à reconnaître des requêtes sur le protocole d'heartbeat).

Les informations pouvant fuiter sont par ordre de criticité :

  • les clés secrètes des certificats X.509
  • les informations de connexion clients (login et mot de passe)
  • puis toute autre information/donnée collatérale pouvant être trouvée dans le buffer OpenSSL de 64Ko ouvert par la vulnérabilité

 

Mitigation et actions correctives

Les étapes conseillées pour prévenir de cette vulnérabilité sont :

  • mettre à jour OpenSSL en version 1.0.1g (si ce n'est pas possible, recompiler la librairie avec la directive -DOPENSSL_NO_HEARTBEATS)
  • faire révoquer vos certificats auprès de l'autorité de certification qui vous concerne (y compris en tant que client d'un PaaS, vous seuls pouvez agir sur votre certificat)
  • faire générer et mettre en place de nouveaux certificats

Certaines sociétés dans le domaine du Cloud (des PaaS comme CloudBees ou Clever-Cloud par exemple) ont été très réactives et ont déjà migré vers la nouvelle version d'OpenSSL. Cependant, il reste à la charge des équipes de chaque application d'effectuer les étapes liées aux certificats (ceux-ci pouvant avoir été ciblés par une attaque au cours des deux dernières années). D'autres services dans le Cloud, tels qu'Amazon Elastic Load Balancing, restent vulnérables à l'heure de la rédaction de cet article.

 

Plus d'infos

Un site dédié à la vulnérabilité a été mis en place pour plus d'informations. Il existe aussi un site permettant de tester la vulnérabilité à Heartbleed d'un domaine fourni sur filippo.io/Heartbleed.

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Donnez-nous votre avis

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet
Commentaires de la Communauté

extension Chrome by Simon BASLE

Une extension chrome a été développée pour afficher une notification quand le domaine visité est vulnérable à Heartbleed (basée sur l'API de filippo.io/Heartbleed) : voir ici

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

1 Discuter

Contenu Éducatif

Rien ne serait possible sans le soutien et la confiance de nos Sponsors Fondateurs:

AppDynamics   CloudBees   Microsoft   Zenika
Feedback Général
Bugs
Publicité
Éditorial
InfoQ.com et tous les contenus sont copyright © 2006-2014 C4Media Inc. InfoQ.com est hébergé chez Contegix, le meilleur ISP avec lequel nous ayons travaillé.
Politique de confidentialité
BT