Une nouvelle de faille de sécurité a été découverte dans le paquet OpenSSL. Les versions impactées sont les suivantes :
- 1.0.1
- 1.0.2-beta
- 1.0.1f
- 1.0.2-beta1
Afin de corriger cette faille , une correction est disponible. Les versions 1.0.2 et 1.0.2-beta2 corrigent la faille.
Pour informations, les distributions ubuntu LTS (et non LTS) sont soit non affectées soit disposent d’un correctifs. Pour la 12.0.4LTS, c’est la version 1..0.1-4ubuntu5.12 et pour la 14.04LTS, c’est la version 1.0.1f-ubuntu2.
En ce qui concerne Debian, Squeeze n’est pas concernée par cette vulnérabilité. Par contre, pour Wheezy, la vulnérabilité a été corrigée dans la version 1.0.1e-2+deb7u5, pour Jessie, dans la version 1.0.1g-1 et enfin pour Sid, dans la version 1.0.1g-1.
Cette vulnérabilité impacte la prise en charge par OpenSSL de l’extension TLS/DTLS Heartbeat et peut permettre à un attaquant de compromettre les clefs privées et d’autres données sensibles en mémoire.
1 réflexion sur « [ Alert openssl ] : faille de sécurité – CVE-2014-0160 »