IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

OpenSSL : des mises à jour apportent des correctifs de sécurité pour six vulnérabilités


Sujet :

Sécurité

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut OpenSSL : des mises à jour apportent des correctifs de sécurité pour six vulnérabilités
    OpenSSL : des mises à jour apportent des correctifs de sécurité pour six vulnérabilités
    dans les versions 1.0.0 et 0.9.8 de la bibliothèque


    Les développeurs d’OpenSSL ont publié deux mises à jour de sécurité à la boite à outils de chiffrement comportant une bibliothèque de cryptographie générale et une implémentation du protocole SSL.

    Les mises à jour 1.0.0f et 0.9.8s apportent des correctifs de sécurité pour six failles qui affectent les versions 1.0.0 et 0.9.8 d’OpenSSL.

    La vulnérabilité la plus critique qui avait déjà été dévoilée publiquement, touche DTLS (Datagram Transport Layer Security) et permet de déchiffre des conversations.

    La preuve de réalisation « padding oracle attack » permettant de récupérer des informations en texte clair chiffré avec DTLS a été conçu par un groupe de chercheurs en sécurité de la Royal Holloway, University of London (RHUL), qui envisagent de la présenter lors de la 19ème édition du colloque Network & Distributed System Security (NDSS) en février prochain.

    L’attaque « padding oracle attack » s’appuie sur des faiblesses de cryptage basé sur CBC (Cipher-block chaining). Lorsque le mode de fonctionnement CBC est utilisé, chaque bloc de texte clair est crypté XOR avec le cryptogramme du bloc précédent, ce qui les rend faibles.

    Les chercheurs avaient découvert un moyen de récupérer le texte sans connaitre la clé de chiffrement initial, en analysant les écarts temporaires qui surviennent pendant le processus de décryptage.

    Une autre vulnérabilité corrigée par ces mises à jour peut entrainer une fuite potentielle d’informations non cryptées lorsque SSL 3.0 est utilisé. La gravité du problème est limitée par des conditions particulières requises pour la réussite d’un exploit et le petit nombre d’octets susceptibles d’être exposés.

    Trois dénis de service ont été corrigés dans ces versions. Les failles concernent le manque de vérification d’erreur lorsque les paramètres GOST sont fixés par un client TLS, l’échec de la vérification déclenchée par les données RFC 3779 mal formatées incluses dans les certificats et un bug dans le support pour le redémarrage du SGC (Server Gated Cryptography ).

    Les utilisateurs peuvent appliquer les mises à jour vers les nouvelles versions d’OpenSSL ou attendre que les éditeurs des systèmes d’exploitation qui intègrent la bibliothèque par défaut émettent ces mises à jour.


    télécharger les mises à jour d'OpenSSL

    Source : openssl.org

  2. #2
    Membre confirmé

    Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Novembre 2009
    Messages
    377
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Novembre 2009
    Messages : 377
    Points : 597
    Points
    597
    Par défaut
    Les chercheurs avaient découvert un moyen de récupérer le texte sans connaitre la clé de chiffrement initial, en analysant les écarts temporaires qui surviennent pendant le processus de décryptage.
    J'ai le souvenir d'une conférence d'un cryptographe (Pascal Junod) qui expliquait que les seules méthodes connus contre les timing-attack sont sous brevet et qu'aucune librairie open-source (dont openssl) n'est actuellement protégé.

    Ont-ils implémenté l'un de ces algorithmes breveté ?

    Résumé de la conférence :
    http://www.segmentationfault.fr/secu...omnihack-2011/

Discussions similaires

  1. Réponses: 0
    Dernier message: 03/09/2014, 08h17
  2. Magnifique Applet mise à mal par des "mise à jour".
    Par Eric Beaumard dans le forum Applets
    Réponses: 32
    Dernier message: 22/10/2013, 09h50
  3. Date des mise en ligne des mises à jour par échelles
    Par Max_B dans le forum IGN API Géoportail
    Réponses: 2
    Dernier message: 13/08/2013, 11h53
  4. Réponses: 1
    Dernier message: 08/02/2007, 10h11
  5. [MFC] Mise à jour dimension des CDialogBar
    Par Kevgeii dans le forum MFC
    Réponses: 2
    Dernier message: 14/01/2004, 22h47

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo