Deux nouvelles vulnérabilités découvertes dans OpenSSL
OpenSSL, la bibliothèque et la boîte à outils de cryptographie largement utilisée, a été la cible des audits des chercheurs en sécurité plus que tout autre projet, à l'exception peut-être du noyau Linux lui-même. Cette semaine n'a pas fait exception et, une fois de plus, des problèmes ont été découverts.
[Mise à jour du 20 avril : Ces dernières semaines, KernelCare a publié des correctifs pour CVE-2021-3449 couvrant AlmaLinux OS 8, RHEL 8, Ubuntu 18.04, Ubuntu 20.04, Centos 8, Debian 10, Oracle Linux 8, et pour CVE-2021-3450 couvrant AlmaLinux OS 8, Centos 8, Oracle Linux 8, RHEL 8. Si vous utilisez KernelCare sur l'un de ces systèmes, vous avez déjà reçu les correctifs].
Plutôt que de réinventer la roue chaque fois qu'ils ont besoin d'un canal de communication sécurisé ou d'effectuer une validation de certificat, par exemple, les programmeurs s'appuient sur la bibliothèque OpenSSL, qui a fait ses preuves. Ils profitent de la facilité d'utilisation et de la large adoption, même sur les systèmes d'exploitation et les architectures, de ne pas avoir à se soucier de ces fonctionnalités communes et de se concentrer sur les objectifs fondamentaux de l'application.
Ainsi, lorsque les alarmes se déclenchent autour d'OpenSSL, beaucoup y prêtent attention et le prennent au sérieux. Cette semaine, deux nouvelles vulnérabilités ont été divulguées, CVE-2021-3449 et CVE-2021-3450, affectant toutes les versions d'OpenSSL de la branche 1.1.1. Il s'agit des versions fournies avec plusieurs systèmes d'exploitation comme RHEL 8, ce qui signifie que les systèmes qui les utilisent doivent mettre à jour OpenSSL dès que possible, car OpenSSL 1.1.1k contient la correction des deux problèmes.
La première vulnérabilité, CVE-2021-3449, est une possible vulnérabilité de déni de service (DoS), où un acteur malveillant pourrait faire planter une application serveur (par exemple, un serveur web ou de messagerie) qui utilise TLSv1.2 configuré pour la renégociation - malheureusement, c'est le comportement par défaut, donc à moins qu'un changement de configuration ait été explicitement défini, tout logiciel utilisant TLSv1.2 pourrait être planté à distance. Le problème provient d'une validation de paramètre manquante dans un chemin de code spécifique, qui pourrait conduire à l'utilisation d'un pointeur NULL - déclenchant immédiatement le crash.
La deuxième vulnérabilité, CVE-2021-3450, permet à des certificats spécialement conçus d'être acceptés comme certificats d'autorité de certification (CA) par des programmes utilisant des versions vulnérables d'OpenSSL, ce qui signifie que toute la validation et les assurances qui découlent d'une chaîne de confiance de certificats sont potentiellement éliminées, faisant apparaître de faux certificats comme des certificats réels et dignes de confiance.
L'équipe de KernelCare a déjà commencé à travailler sur les correctifs, et ils devraient être disponibles en début de semaine prochaine pour les systèmes affectés utilisant KernelCare. Cet article sera mis à jour avec la disponibilité des correctifs spécifiques aux systèmes d'exploitation au fur et à mesure qu'ils seront disponibles.