Vulnérabilité dans OpenSSL (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298, CVE-2014-3470)

Source : https://www.openssl.org/news/secadv_20140605.txt

Description

Un pirate recourant à une liaison adroitement établie peut affaiblir le chiffrement OpenSSL SSL et TLS. Il peut ainsi se livrer à une attaque appelée attaque de l’homme du milieu (HDM) ou man in the middle attack (MITM) consistant à décrypter et à modifier le trafic des clients et des serveurs visés.

Ce type d’attaque ne peut être lancé qu’entre un client ET un serveur vulnérables.

Quelles versions d’OpenSSL constituent des cibles?

  • Les clients sont vulnérables dans TOUTES les versions d’OpenSSL.
  • En ce qui concerne les serveurs, seules les versions 1.0.1 et 1.0.2-beta1 présentent un problème.

Solution au problème :

Il est conseillé aux utilisateurs dont les serveurs recourent à des versions d’OpenSSL antérieures à 1.0.1 d’effectuer une mise à niveau par mesure de précaution.

  • Les utilisateurs d’OpenSSL 0.9.8 SSL/TLS (client ou serveur) devraient passer à 0.9.8za.
  • Les utilisateurs d’OpenSSL 1.0.0 SSL/TLS (client ou serveur) devraient passer à 1.0.0m.
  • Les utilisateurs d’OpenSSL 1.0.1 SSL/TLS (client ou serveur) devraient passer à 1.0.1h.

Reportez-vous à cet article pour vérifier la version de votre OpenSSL et pour effectuer la mise à niveau.

Ressources supplémentaires :

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk