Tweet
OpenSSL a rendu disponible une série de patch permettant de combler 6 vulnérabilités.
Parmi celles-ci, certaines permettant d'exécuter du code malicieux sur un serveur web ainsi que de décrypter le traffic chiffré en SSL (dont on use et abuse de nos jours, par exemple, pour nos transactions bancaires).
Le premier bug sévère affaiblit le cryptage en demandant de manière répétée des données en clair à propos d'un contenu encrypté.
Le second bug critique était une corruption de mémoire dans l'encodage, la transmission et le décodage des données permettant à un attaquant d'exécuter du code malicieux sur un serveur web.
OpenSSL a également corrigé divers autres vulnérabilité de moindre importance dont une attaque possible sur la mémoire du protocol.
Les patches sont sorti pour OpenSSL version 1.0.1 et 1.0.2.
Les administrateurs sont bien évidement invités à faire ces mises à jour aussi vite que possible.
Source et liens :
