e-Xpert Solutions Lausanne
Auteur : Florian Marino
Date de publication : 1 avril 2021 - Dernière mise à jour : 1 avril 2021
Deux nouvelles failles de sécurité ont été découvertes dans le logiciel OpenSSL à travers la bibliothèque cryptographique open source. Ces failles mettent en péril les serveurs de site web et la messagerie électronique.
La première référencée : CVE-2021-3449
Elle permet à un utilisateur non authentifié de réaliser une attaque par déni de service. En cause, un serveur OpenSSL TLS qui lors d’une renégociation malveillante au niveau d’un message « ClientHello » omet l’extension signature_algorithms mais inclut une extension signature_algorithms_cert puis un NULL, alors un déférencement de pointeur en résultera, conduisant à un crash et une attaque en déni de service.
Une seconde référencée : CVE-2021-3450
Elle permet d’empêcher l’application de détecter et de rejeter les certificats TLS qui ne sont pas signés par une autorité de certification approuvée par le navigateur. Pour ce faire, l’application implique l’intéraction de l’indicateur « X509_V_FLAG_X509_STRICT ».
Une erreur dans la mise en œuvre de ce contrôle signifie que le résultat d’une vérification précédente a été écrasé.
"Pour contourner efficacement le contrôle relatif aux certificats non émis par ces autorités et en bloquer l’émission", selon la société OpenSSL.
L’ensemble des versions OpenSSL 1.1.1 sont concernées et ont comme correctif la version 1.1.1k.
À noter que la version 1.0.2 de ce protocole n’est pas affectée.
Events
Archives