Vidéo: Comment générer un CSR avec OpenSSL - Tuto Video (Novembre 2024)
Il existe une nouvelle version d'OpenSSL et, oui, il s'avère que les versions précédentes du package de sécurité comportaient de graves vulnérabilités. Cependant, ces défauts sont une bonne chose; nous ne cherchons pas à un désastre de proportions Heartbleed.
À première vue, l’avis OpenSSL répertoriant les sept vulnérabilités qui ont été corrigées dans OpenSSL semble être une liste effrayante. L’une des failles, si exploitée, pourrait permettre à un attaquant de voir et de modifier le trafic entre un client OpenSSL et le serveur OpenSSL lors d’une attaque de type man-in-the-middle. Le problème est présent sur toutes les versions clientes d'OpenSSL et du serveur 1.0.1 ou 1.0.2-beta1. Pour que l'attaque réussisse (et c'est assez compliqué au début), des versions vulnérables du client et du serveur doivent être présentes.
Même si l'ampleur du problème est très limitée, vous êtes peut-être préoccupé par le fait de continuer à utiliser un logiciel avec OpenSSL inclus. Tout d'abord, Heartbleed. Maintenant, les attaques man-in-the-middle. En se focalisant sur le fait qu'OpenSSL a des bogues (quel logiciel ne le fait pas?), Il manque un point très critique: ils sont corrigés.
Plus de yeux, plus de sécurité
Le fait que les développeurs divulguent ces bogues - et les corrigent - est rassurant, car cela signifie que nous avons plus de perspectives sur le code source OpenSSL. Plus de gens scrutent chaque ligne pour identifier les vulnérabilités potentielles. Après la divulgation du virus Heartbleed plus tôt cette année, beaucoup de gens ont été surpris de découvrir que le projet n’avait pas beaucoup de financement ou de nombreux développeurs dédiés, malgré son utilisation généralisée.
"Il [OpenSSL] mérite l'attention de la communauté de la sécurité qu'il reçoit actuellement", a déclaré Wim Remes, consultant en gestion pour IOActive.
Un consortium de géants de la technologie, notamment Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel et Cisco, s'est allié à la Linux Foundation pour former la Core Infrastructure Initiative (CII). CII finance des projets open source pour ajouter des développeurs à temps plein, réaliser des audits de sécurité et améliorer l'infrastructure de test. OpenSSL était le premier projet financé par CII; Network Time Protocol et OpenSSH sont également pris en charge.
"La communauté a relevé le défi de faire en sorte qu'OpenSSL devienne un meilleur produit et que les problèmes soient résolus et résolus rapidement", a déclaré Steve Pate, architecte en chef chez HyTrust.
Si vous vous inquiétez?
Si vous êtes un administrateur système, vous devez mettre à jour OpenSSL. Un plus grand nombre de bogues seront trouvés et corrigés. Les administrateurs doivent donc surveiller les correctifs pour que le logiciel soit à jour.
Pour la plupart des consommateurs, il n'y a pas grand chose à craindre. Pour exploiter le bogue, OpenSSL doit être présent aux deux extrémités de la communication, ce qui n’arrive généralement pas dans la navigation Web, a déclaré Ivan Ristic, directeur de l’ingénierie chez Qualys. Les navigateurs de bureau ne reposent pas sur OpenSSL et, même si le navigateur Web d'origine sur les appareils Android et Chrome pour Android utilisent OpenSSL. "Les conditions nécessaires à l'exploitation sont un peu plus difficiles à trouver", a déclaré Ristic. Le fait que l'exploitation nécessite un positionnement "homme-au-milieu" est "contraignant", a-t-il déclaré.
OpenSSL est souvent utilisé dans les utilitaires de ligne de commande et pour l'accès par programme. Les utilisateurs doivent donc se mettre à jour immédiatement. Et toutes les applications logicielles utilisant OpenSSL doivent être mises à jour dès que de nouvelles versions sont disponibles.
Mettez à jour le logiciel et "préparez-vous à des mises à jour fréquentes dans le futur d'OpenSSL, car ce ne sont pas les derniers bogues rencontrés dans ce progiciel", a averti Wolfgang Kandek, CTO de Qualys.
