Une vulnérabilité critique dans la librairie OpenSSL
Ce lundi (7 avril), une faille qui affecte les versions 1.0.1 à 1.0.1f de OpenSSL a été publiée. Le texte officiel est disponible ici : https://www.openssl.org/news/secadv_20140407.txt
Cette vulnérabilité permet à un attaquant de récupérer 64 Ko de données stockées dans la mémoire (RAM). Dans ces 64 Ko, il peut y avoir la totalité ou une partie de la clef privée, et comme l'attaque peut être exécutée plusieurs fois sans cibler précisément la même zone de la mémoire cela signifie que la totalité de la clef privée peut être récupérée.
En d'autre termes, les communications sont chiffrées entre le client et le serveur, mais il possible de les déchiffrer et cela à moindre effort, puisqu'il est possible d'avoir le coffre fort et la clef du coffre.
Cela signifie aussi que les clefs privées ne sont potentiellement plus privées car il est impossible de savoir si elle ont été obtenues par cette attaque, ou pas.
Une seule solution
Mettre à jour la librairie OpenSSL, la plupart des distributions Linux ont déjà publié la mise à jour, et surtout redémarrer tous les services qui utilisent la librairie.
À titre d'information, les certificats de ce serveur ont été régénérés peu de temps après l'application du correctif.
Ce billet devait initialement être accompagné d'explications du protocole SSL, notamment sur une fonctionnalité qui permet de garantir les échanges passés et futurs. Il sera publié prochainement…