OpenSSL … un trou de plus dans le gruyère !

Décidément Hearthbleed n’était pas le seul problème dans OpenSSL, une nouvelle vulnérabilité vient d’être découverte, une possibilité d’attaque de l’homme du milieu (MITM) et pas seulement sur la version 1.* mais également sur la branche 0.9.8 !

Elle a été publié le 1 mai 2014 et vient d’être intégrée aux CVE (CVE-2014-0224) le descriptif complet est ici.

Pour y remédier, vous pouvez vous reporter ci dessous pour voir si vous êtes dans ce cas.
OpenSSL 0.9.8 SSL/TLS users (client and/or server) should upgrade to 0.9.8za.
OpenSSL 1.0.0 SSL/TLS users (client and/or server) should upgrade to 1.0.0m.
OpenSSL 1.0.1 SSL/TLS users (client and/or server) should upgrade to 1.0.1h.

Même si l’attaque est délicate puisque elle doit combiner un client et un serveur vulnérable, il semble que seul le navigateur Chrome sur Android est touché puisqu’il embarque OpenSSL. Les autres navigateurs (Firefox, Firefox mobile, Safari, Safari mobile) ne sont pas exposés.

Surveillez ça de près et éviter de surfer avec votre Chrome sur Android.

Zephilou

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Post comment