Les utilisateurs d’OpenSSL ont intérêt à rapidement mettre à jour cette librairie, car une faille (CVE-2021-3449) a été découverte dans ce code permettant de faire planter les serveurs qui l’utilisent, en particulier les serveurs Web et les serveurs de messagerie.
Il suffit pour cela d’envoyer une requête de type « ClientHello » mal formée. Compte tenu de la popularité d’OpenSSL, cette vulnérabilité a été classée comme « importante ».
« On dirait qu’il est possible de faire planter la plupart des serveurs OpenSSL sur Internet », souligne le chercheur en sécurité Filippo Valsorda, sur Twitter.
A découvrir aussi en vidéo :
En effet, OpenSSL est l’un des logiciels cryptographiques les plus utilisés sur la Toile, car il permet de facilement implémenter le protocole de chiffrement TLS qui assure la confidentialité des échanges sur Internet.
Une seconde faille (CVE-2021-3450) a également été patchée. Elle permettait, dans certains cas, de court-circuiter la vérification du certificat cryptographique, et donc de briser la chaîne de confiance.
Source : Ars Technica
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.