Actualités

OpenSSL : mise en lumière de deux vulnérabilités… il est vivement conseillé de mettre à jour vers la version – patchée – 1.1.1k !

Deux failles qualifiées de haute ont été découvertes : l’une au sein de l’étape de re-négociation du message ClientHello et l’autre au sein des des certificats reposant sur les courbes elliptiques…

 

 

Concernant la première – CVE-2021-3449 – elle impacte toutes les versions OpenSSL et a été découverte le 17 Mars 2021 : “si une renégociation TLSv1.2 ClientHello omet l’extension signature_algorithms (où elle était présente dans le ClientHello initial), mais inclut une extension signature_algorithms_cert, une déréférence de pointeur NULL en résultera, conduisant à un crash et une attaque par déni de service. Un serveur n’est vulnérable que s’il a TLSv1.2 et la renégociation activée (qui est la configuration par défaut). Les clients OpenSSL TLS ne sont pas concernés par ce problème. Toutes les versions d’OpenSSL 1.1.1 sont concernées par ce problème. Les utilisateurs de ces versions doivent mettre à niveau vers OpenSSL 1.1.1k. OpenSSL 1.0.2 n’est pas concerné par ce problème“.

Concernant la seconde – CVE-2021-3450 – elle concerne, au minimum, la version 1.1.1h et a été découverte le 18 Mars 2021 : “à partir de la version 1.1.1h d’OpenSSL, une vérification pour interdire les certificats dans la chaîne qui ont explicitement encodé des paramètres de courbe elliptique a été ajoutée comme une vérification stricte supplémentaire. Une erreur dans la mise en œuvre de cette vérification signifiait que le résultat d’une vérification précédente pour confirmer que les certificats de la chaîne sont des certificats CA valides a été écrasé. Cela contourne efficacement la vérification selon laquelle les certificats non CA ne doivent pas être en mesure d’émettre d’autres certificats. Si un «objectif» a été configuré, il existe une possibilité ultérieure de vérifier que le certificat est une autorité de certification valide. Toutes les valeurs nommées “purpose” implémentées dans libcrypt pour effectuer cette vérification. Par conséquent, lorsqu’un objectif est défini, la chaîne de certificats sera toujours rejetée même lorsque l’indicateur strict a été utilisé. Un objectif est défini par défaut dans les routines de vérification des certificats du client et du serveur libssl, mais il peut être remplacé ou supprimé par une application. Pour être affectée, une application doit définir explicitement l’indicateur de vérification“.

Il est, ainsi, vivement conseillé de mettre à jour sans attendre OpenSSL qui est passé en version 1.1.1k, depuis le 25 Mars 2021… A veiller !

Plus d’informations : un billet sécuritaire explicatif du fonctionnement des failles, par Filippo Valsorda.

 

 

Source : OpenSSL – 25 Mars – Deux vulnérabilités (message ClientHello et certificats au sein du chiffrement à courbe elliptique) découvertes et corrigées (nouvelle version)




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.3