Les pirates informatiques d'aujourd'hui sont devenus intelligents. Vous leur donnez une légère faille et ils en profitent pour déchiffrer votre code. Cette fois-ci, OpenSSL, une bibliothèque cryptographique à code source libre, plus couramment utilisée par les fournisseurs de services Internet, est en colère contre les pirates.
Aujourd'hui, OpenSSL a publié une série de correctifs pour six vulnérabilités. Deux de ces vulnérabilités sont jugées extrêmement graves, notamment CVE-2016-2107 et CVE-2016-2108.
CVE-2016-2017, une vulnérabilité grave permet à un pirate informatique d'initier une attaque Padding Oracle. Padding Oracle Attack peut déchiffrer le trafic HTTPS pour une connexion Internet utilisant le chiffrement AES-CBC, avec un serveur prenant en charge AES-NI.
Padding Oracle Attack affaiblit la protection contre le chiffrement en permettant aux pirates informatiques d’envoyer des demandes répétées de contenu en texte brut sur un contenu chiffré. Cette vulnérabilité a été découverte en premier par Juraj Somorovsky.
Juraj a écrit dans un article de blog: « Ce que nous avons appris de ces bogues, c'est que l'application de correctifs aux bibliothèques de chiffrement est une tâche critique et doit être validée à l'aide de tests positifs et négatifs. Par exemple, après la réécriture de certaines parties du code de remplissage CBC, le comportement du serveur TLS doit être testé afin de vérifier son comportement correct avec des messages de remplissage incorrects. J'espère que TLS-Attacker pourra être utilisé une fois pour une telle tâche. ”
La deuxième vulnérabilité de gravité élevée qui a frappé la bibliothèque OpenSSL est appelée CVE 2016-2018. C'est un défaut majeur qui affecte et corrompt la mémoire de la norme OpenSSL ASN.1 utilisée pour le codage, le décodage et le transfert de données. Cette vulnérabilité particulière permet aux pirates en ligne d’exécuter et de diffuser du contenu malveillant sur le serveur Web.
Bien que la vulnérabilité CVE 2016-2018 ait été corrigée en juin 2015, l'impact de la mise à jour de sécurité est apparu au bout de 11 mois. Cette vulnérabilité particulière peut être exploitée à l'aide de certificats SSL personnalisés et factices, dûment signés par les autorités de certification.
OpenSSL a également publié des correctifs de sécurité pour quatre autres vulnérabilités de dépassement de capacité mineures au même moment. Celles-ci incluent deux vulnérabilités de dépassement de capacité, un problème d'épuisement de la mémoire et un bogue de gravité faible entraînant le renvoi de données de pile arbitraires dans la mémoire tampon.
Les mises à jour de sécurité ont été publiées pour OpenSSl version 1.0.1 et OpenSSl version 1.0.2. Pour éviter tout dommage supplémentaire aux bibliothèques de chiffrement OpenSSL, il est conseillé aux administrateurs de mettre à jour les correctifs dès que possible.
Cette nouvelle a été initialement publiée sur The Hacker News
