Il suffisait d’envoyer une requête malformée vers un serveur OpenSSL pour le faire crasher, mettant en péril les serveurs de sites Web ou de messagerie électronique. Heureusement, un patch est disponible.
Les utilisateurs d’OpenSSL ont intérêt à rapidement mettre à jour cette librairie, car une faille (CVE-2021-3449) a été découverte dans ce code permettant de faire planter les serveurs qui l’utilisent, en particulier les serveurs Web et les serveurs de messagerie.
Il suffit pour cela d’envoyer une requête de type « ClientHello » mal formée. Compte tenu de la popularité d’OpenSSL, cette vulnérabilité a été classée comme « importante ».
« On dirait qu’il est possible de faire planter la plupart des serveurs OpenSSL sur Internet », souligne le chercheur en sécurité Filippo Valsorda, sur Twitter.
En effet, OpenSSL est l’un des logiciels cryptographiques les plus utilisés sur la Toile, car il permet de facilement implémenter le protocole de chiffrement TLS qui assure la confidentialité des échanges sur Internet.
Une seconde faille (CVE-2021-3450) a également été patchée. Elle permettait, dans certains cas, de court-circuiter la vérification du certificat cryptographique, et donc de briser la chaîne de confiance.
source : 01net