Le projet OpenSSL publiera le 1er novembre un correctif pour une vulnérabilité critique de sa bibliothèque de sécurité open source, un événement rare auquel les développeurs d’applications et les administrateurs système devraient prêter attention.
La dernière fois qu’OpenSSL a publié un correctif de vulnérabilité critique, c’était en 2016, ont noté des chercheurs de Venafi, et ce n’est que le deuxième correctif à se voir attribuer une note critique.
On ne sait pas exactement ce que corrige OpenSSL 3.0.7. L’avis de mise à jour ne détaille pas la vulnérabilité ou les vulnérabilités. Cette information sera incluse avec la mise à jour.
OpenSSL est une boîte à outils de commandes pour Windows, Linux et macOS utilisée pour générer des clés privées, créer des demandes de signature de certificat, installer des certificats SSL/TLS et identifier les informations de certificat. En bref, elle sécurise les communications.
Ce sont les administrateurs système plus que les développeurs d’applications, qui doivent prendre action a déclaré Johannes Ullrich, doyen de la recherche au SANS Technology Institute. Les logiciels utilisant OpenSSL utilisent généralement la bibliothèque installée dans le système d’exploitation. Cependant, il existe certains cas où les développeurs incluent la bibliothèque à même leur code, auquel cas ils devront mettre à jour et distribuer une nouvelle version de celui-ci.
Après « Heartbleed », OpenSSL a mis en place des préavis comme celui qui a été publié cette semaine, a-t-il déclaré. Cela, a-t-il dit, donnera aux organisations un peu de temps pour se préparer.
« dans un premier temps, il est important d’identifier les systèmes livrés avec OpenSSL 3.0 préinstallé », a déclaré Ullrich. Le système d’exploitation doit proposer une mise à jour au moment où la vulnérabilité est rendue publique. Soyez à l’affût des mises à jour des systèmes Linux en particulier. Mais OpenSSL peut également être utilisé par d’autres. MacOS n’est pas livré avec OpenSSL par défaut, mais utilise à la place la bibliothèque LibreSSL. LibreSSL n’est pas couvert par l’annonce. Mais je trouve que les logiciels installés sur MacOS incluent parfois leur propre copie d’OpenSSL.
« Les différentes implémentations SSL/TLS sont souvent identifiables sur le réseau. Chaque implémentation a sa propre “empreinte digitale” d’options et de chiffrements qu’elle prend en charge. Vous pourrez peut-être identifier les systèmes exécutant OpenSSL 3.0 en inspectant ces empreintes digitales TLS. Les systèmes de détection d’intrusion comme Zeek peuvent être utilisés pour collecter les empreintes digitales. »
Mattias Gees, responsable des produits de conteneurs chez Venafi, a noté que les versions d’OpenSSL antérieures à 3.0 ne sont pas affectées et que de nombreux systèmes d’exploitation utilisent OpenSSL 1.1, de sorte que ces environnements ne seront pas affectés. « Cela permettra aux équipes de cybersécurité et d’exploitation de rejeter de grandes parties de leur infrastructure et, espérons-le, de réduire l’impact de cette vulnérabilité par rapport à ce qui était initialement prévu. Mais les équipes d’ingénierie de plate-forme devraient continuer à investir dans un meilleur audit de leurs environnements et de leurs dépendances pour la prochaine menace, qui n’est jamais bien loin. »
Adaptation et traduction française par Renaud Larue-Langlois.
