Les utilisateurs d’OpenSSL ont intérêt à rapidement mettre à jour cette librairie, car une faille (CVE-2021-3449) a été découverte dans ce code permettant de faire planter les serveurs qui l’utilisent, en particulier les serveurs Web et les serveurs de messagerie.

En effet, OpenSSL est l’un des logiciels cryptographiques les plus utilisés sur la Toile, car il permet de facilement implémenter le protocole de chiffrement TLS qui assure la confidentialité des échanges sur Internet.

Il suffit pour cela d’envoyer une requête de type « ClientHello » mal formée. Compte tenu de la popularité d’OpenSSL, cette vulnérabilité a été classée comme « importante ».

Il suffisait d’envoyer une requête malformée vers un serveur OpenSSL pour le faire crasher, mettant en péril les serveurs de sites Web ou de messagerie électronique. Heureusement, un patch est disponible.

« On dirait qu’il est possible de faire planter la plupart des serveurs OpenSSL sur Internet », souligne le chercheur en sécurité Filippo Valsorda, sur Twitter.

Une seconde faille (CVE-2021-3450) a également été patchée. Elle permettait, dans certains cas, de court-circuiter la vérification du certificat cryptographique, et donc de briser la chaîne de confiance.

Source : Ars Technica