Blog d'un Éternel Geek

On remet le couvert chez OpenSSL

Nouvelle faille de OpenSSL

Du rififi chez Heartbleed qui leur remémore de sacré souvenir de compromission. Unee publicité je pense dont il se serais largement passé encore une fois. Voici l'annonce des gars de chez NewFactor :

Il ya une nouvelle faille "de gravité élevé" qui exige votre attention immédiate. L'équipe de projet OpenSSL a émis un avertissement sur une alerte qui permettra de déployer jeudi des informations plus détaillées. Pour l'instant, on est encore dans le mystère le plus total.

C'est sur cette affirmation que l'on va étayer des informations reccueillis via le site NewFactor qui s'est bien entendu empresser de comprendre ce qui se passer en fond de toile

Le projet OpenSSL est un effort de collaboration pour développer une qualité commerciale, une pleine fonctionnalité et Open Toolkit source qui comprend Secure Sockets Layer (SSL) et Transport Layer Security (TLS) des protocoles ainsi qu'une une forte bibliothèque de cryptographie générale. Une communauté mondiale de volontaires utilise l'Internet pour communiquer, planifier et développer la boîte à outils OpenSSL.


L'équipe de projet OpenSSL aimerait annoncer la sortie prochaine de 2 versions OpenSSL 1.0.2d et 1.0.1p. : Une alerte publié lundi noté. "Ces rejets seront disponibles le 9 Juillet. Ils fixeront un défaut de sécurité unique classé comme la gravité «élevé». Ce défaut ne modifie pas les 1.0.0 ou 0.9.8. "

Devrions-nous attendre à des problèmes massifs?
La nouvelle faille de sévérité élevée a l'industrie de parler à cause de la connexion OpenSSL-Heartbleed. En 2014, les ingénieurs de sécurité à Codenomicon ont trouvé un bug qui pouvait donner aux pirates un accès aux mots de passe utilisateur et même confondre les gens à l'aide de fausses versions de sites Web populaires. Ce bug, bien sûr, a été informé et il semble que Heartbleed soit le plus touchées d'Internet. Codenomicon a découvert que la vulnérabilité était dans la bibliothèque de logiciels de cryptographie OpenSSL. La faiblesse permet de voler des informations généralement protégé par le cryptage SSL / TLS utilisé pour sécuriser l'Internet, a indiqué la compagnie. Pendant les retombées, il a été question qu'il pourrait même déconnecter l'Internet.


OpenSSL dispose d'une licence de développeur-friendly, ne nécessitant que l'attribution pour qu'elle soit liée contre, copié et collé ou autrement incorporé dans un produit logiciel dérivé, Ed Moyle, directeur des activités émergentes et de la technologie, l'ISACA , une organisation professionnelle internationale axée sur IT gouvernance , nous dit qu'il est également gratuit. Selon Moyle, tout cela rend irrésistible pour les développeurs à utiliser OpenSSL pour tout ce qui nécessite la fonctionnalité SSL, y compris à des systèmes de l'ICS, d'équipement médical, des détecteurs de fumée, les caméras à distance, des routeurs câblés axés sur les consommateurs et les points d'accès sans fil. Pourtant, certains chercheurs en sécurité ne s'attendaient pas à une alerte Armageddon style de l'équipe OpenSSL jeudi.


Une once de prévention Nous avons tourné à Tim Erlin, directeur de la sécurité informatique et de la stratégie des risques à avancé menace protection cabinet Tripwire, pour obtenir ses pensées sur l'alerte de l'équipe projet OpenSSL. Il nous a dit ce type de pré-annonce est destiné à donner aux organisations une chance de se préparer. Mais est-il raison de paniquer? Pas nécessairement.

"Une grande partie de la panique avec Heartbleed viens de la confusion à identifier où les organisations sont vulnérables et comment appliquer les patches. Dans ce cas, un peu d'organisation permet de s'aligner sur un cycle de correction", dit Erlin. "Les fournisseurs de logiciels qu'utilisent OpenSSL peuvent patcher leur code et expédier de nouvelles versions plus rapidement, et les utilisateurs finaux peuvent faire l'inventaire d'où ils ont OpenSSL et mettre en place des environnements de test appropriées à l'avance."

pour finir quand on vois sur wiki pour OpenSSl et le coeur ensanglanté je me dit ça laisse prévisager rien de bon pour l'avenir tout ça : Wiki-OpenSSLSOS-Tendez la Main SVP une petite pièce pour Heart

A plus

expédier de nouvelles versions plus rapide, et les utilisateurs finaux pouvez faire l'inventaire où ils ont OpenSSL et mettre en place des environnements de test appropriées à l'avance."





 Geek me     Je suis un Geek dans l'âme. 18 ans à silloner internet pour récolter des informations afin de comprendre son fonctionnement. Idéalement j'étudie également le comportement humain.

C'est afin de vous partager mes connaissances que j'ai ouvert ce blog alors je vous souhaite une bonne lecture.



À lire également


1 commentaire

1 - mercredi 08 juillet 2015 @ 11:19 Jean a dit :

C'est clair qu'openssl subis de grands coups ces dernières années.

Écrire un commentaire

Votre adresse de messagerie ne sera pas publiée.

Quelle est la deuxième lettre du mot vkag ? :