IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Linux Discussion :

Une nouvelle faille critique dans GnuTLS permet l’exécution du code malveillant


Sujet :

Linux

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 325
    Points
    252 325
    Billets dans le blog
    117
    Par défaut Une nouvelle faille critique dans GnuTLS permet l’exécution du code malveillant
    Une nouvelle faille critique dans GnuTLS permet l’exécution du code malveillant
    les correctifs doivent être appliqués d’urgence

    Après la faille Heartbleed d’OpenSSL, l’écosystème de la sécurité sur internet est à nouveau touché par une autre faille importante dans un outil de chiffrement open source.

    Des chercheurs de Codenomicon, la firme à l’origine de l’identification de la faille dans OpenSSL, ont découvert une vulnérabilité critique dans GnuTLS, une bibliothèque populaire pour la gestion des certificats électroniques et l'implémentation des protocoles SSL & TLS sous Linux.

    GnuTLS, bien que ne jouissant pas de la même notoriété qu’OpenSSL est utilisé par plusieurs distributions Linux populaires, notamment Red Hat, Debian et Ubuntu, ainsi que dans des centaines d’autres solutions open source.

    La faille se situera au niveau de la façon dont GnuTLS analyse les identifiants de session des messages ServerHello du « handshake » de TLS/SSL. Un serveur malveillant pourrait exploiter cette faille en envoyant un ID de session trop long lorsqu’il établit une connexion HTTP chiffrée, qui entrainera un dépassement de tampon dans une application cliente utilisant GnuTLS.

    Selon les chercheurs, cette manœuvre aura pour conséquence le plantage de l’application ou l’exécution du code arbitraire.

    Une analyse technique dans un billet de blog a présenté comment la vulnérabilité pouvait être exploitée pour exécuter du code malveillant. Pour l’instant, il n’y a pas de signes que la faille soit activement exploitée par les pirates. Néanmoins, les utilisateurs des GnuTLS sont invités à vérifier s’ils n’exécutent pas une version vulnerable et à prendre les mesures nécessaires.

    Nikos Mavrogiannopoulos, architecte en chef du projet GnuTLS et ingénieur chez Red Hat, a publié un correctif de sécurité en fin de semaine dernière, qui a été intégré dans les mises à jour GnuTLS 3.1.25, GnuTLS 3.2.15 et GnuTLS 3.3.3.

    Cette faille sort juste quelques mois après la découverte d’une autre faille critique dans GnuTLS. En mars dernier, Nikos Mavrogiannopoulos avait découvert lors d’un audit de GnuTLS, une faille due à une erreur de branchement GoTo dans une section du fichier verify.c.

    La découverte des failles dans des projets open source critiques a poussé l’industrie de l’IT à se réunir au sein du consortium Core Infrastructure Initiative pour financer des projets open source afin de prévenir les bugs. Les projets OpenSSL, OpenSSH et le protocole NTP ont déjà bénéficié d’un premier financement.


    Source : Red Hat


    Et vous ?

    Qu'en pensez-vous ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre actif
    Profil pro
    ingénieur
    Inscrit en
    novembre 2011
    Messages
    165
    Détails du profil
    Informations personnelles :
    Localisation : France, Tarn (Midi Pyrénées)

    Informations professionnelles :
    Activité : ingénieur

    Informations forums :
    Inscription : novembre 2011
    Messages : 165
    Points : 259
    Points
    259
    Par défaut
    ça va peut-être enfin amener les grosses boites qui se servent de l'open source sans contrepartie à investir dedans.

  3. #3
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2007
    Messages
    1 118
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 1 118
    Points : 4 330
    Points
    4 330
    Par défaut
    Citation Envoyé par tiresias54 Voir le message
    ça va peut-être enfin amener les grosses boites qui se servent de l'open source sans contrepartie à investir dedans.
    Avec toutes les économies que ça leur a fait, ils peuvent bien faire ça.

  4. #4
    Invité
    Invité(e)
    Par défaut
    Je suis d'accord pour dire que ça donne une bonne raison aux grosses entreprises d'investir dans ce genre de projet ! D'ailleurs, je pense que l'OpenSource est voué, à l'avenir, à être de plus en plus soutenu par de grandes entreprises, car c'est justement l'association du financement de ces entreprises et du fait que le code soit ouvert qui permettra aux logiciels OpenSource d'avoir une qualité toujours croissante.

Discussions similaires

  1. Une faille critique dans Android affecterait 75 % des terminaux
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 30
    Dernier message: 26/09/2014, 09h28
  2. Une nouvelle faille zero-day dans IE10 a été découverte
    Par Francis Walter dans le forum Sécurité
    Réponses: 3
    Dernier message: 28/02/2014, 08h51
  3. Adobe corrige une faille critique dans Flash
    Par Francis Walter dans le forum Sécurité
    Réponses: 0
    Dernier message: 06/02/2014, 20h09
  4. Réponses: 3
    Dernier message: 14/08/2013, 12h08
  5. Un hacker surdoué de 12 ans trouve une faille critique dans Firefox
    Par Gordon Fowler dans le forum Actualités
    Réponses: 22
    Dernier message: 28/10/2010, 09h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo