L'équipe du projet OpenSSL a annoncé qu'une mise à jour de sécurité critique serait corrigée le 1er novembre 2022, à l'occasion de la sortie d'OpenSSL v3.0.7. Quels sont les risques ?

Pour rappel, OpenSSL est une bibliothèque open source qui est très populaire sur les systèmes Linux et très utilisé par différentes applications, notamment pour gérer les certificats. Je pense notamment à différentes distributions Linux comme Ubuntu, Debian, RHEL, etc... Ainsi qu'aux serveurs Web Apache ou Nginx, ou encore à différents constructeurs comme Fortinet, Cisco, Sophos, Synology, Symantec, etc... Une liste bien plus longue que le bras.

Cette nouvelle faille de sécurité dans OpenSSL est critique, ce qui, d'après la classification établie par l'équipe d'OpenSSL, signifie qu'elle affecte les configurations courantes et qu'elle est susceptible d'être exploitée dans le cadre de cyberattaque. Au sein de la politique de sécurité d'OpenSSL, on peut lire : "Il peut s'agir, par exemple, d'une divulgation importante du contenu de la mémoire du serveur (pouvant révéler des détails sur l'utilisateur), de vulnérabilités pouvant être facilement exploitées à distance pour compromettre les clés privées du serveur ou d'une vulnérabilité permettant une exécution de code à distance".

Pour le moment, et on ne va pas s'en plaindre, il n'y a pas de détails disponibles publiquement au sujet de cette vulnérabilité. Toutefois, on sait qu'elle affecte uniquement OpenSSL 3.0+. Autrement dit, les versions d'OpenSSL avant la version 3.0 ne sont pas affectées par cette vulnérabilité. Sur Twitter, on peut déjà lire quelques échanges au sujet de cette vulnérabilité, notamment : "RHEL 9 et Ubuntu 22.04 LTS fournissent OpenSSL 3.0, soyez donc prêts mardi prochain si vous utilisez ces distributions. Debian Stable fournit OpenSSL 1.1.x et n'est pas concerné."

Selon la facilité d'exploitation de cette vulnérabilité, il y a fort à parier que les cybercriminels soient sur le coup... Le 1er novembre, c'est mardi prochain : on peut dire que le mois de novembre va commencer sur les chapeaux de roues...

Source

L'article Préparez-vous à mettre à jour OpenSSL : une faille critique sera corrigée le 1er novembre 2022 ! est disponible sur IT-Connect : IT-Connect.