OpenSSL fixe Man-In-The-Middle attaque CVE-2015-1793 (Mise à jour 2019)

OpenSSL fixe Man-In-The-Middle attaque CVE-2015-1793 (Mise à jour 2019)

Un bug trouvé dans OpenSSL permet aux pirates d'agir comme CA (Autorité de certification)

OpenSSL annoncé lundi cette semaine sur la sortie prochaine des versions 1.0.2d et 1.0.1p. Depuis hier 9, Juillet, la version est disponible comme mentionné dans l'annonce. Il concerne détecté CVE-2015-1793 (falsification de certificats de chaînes alternatives) qui est classée comme vulnérabilité avec un chercheur de haut severity.Google Adam Langley et David Benjamin de BoringSSL a signalé le bug il y a deux semaines au projet OpenSSL.

Le noyau de CVE-2015-1793

Selon OpenSSL consultatif de sécurité le cœur de la question est que OpenSSL peut manquer de valider avec précision si un certificat est délivré par une autorité de certification digne de confiance (Autorité de certification). Cela permet aux pirates d'agir comme CA et distribuer des certificats invalides pour la mise en œuvre des attaques man-in-the-middle. Ce bug rend les attaquants capables d'engendrer des applications pour voir SSL non valide et non sécurisé (Secure Sockets Layer) certificats comme valide. Ainsi, la protection des secrets passés entre les clients et les serveurs accomplis par les procédures de chiffrement est désactivé. Les applications qui vérifient les certificats contenant les clients TLS / SSL / de DTLS et serveurs TLS / SSL / de DTLS en utilisant l'authentification des clients peuvent être affectés par la question.

En fait versions OpenSSL 1.0.2c, 1.0.2b, 1.0.1n et 1.0.1o sont affectés par cette vulnérabilité.

L'équipe du projet OpenSSL également mentionné que la version 1.0.0 ou 0.9.8 les rejets ne sont pas affectés par ce bug.

    mises à jour nécessaires

  • Les utilisateurs utilisant OpenSSL 1.0.2b / 1.0.2c doivent mettre à jour 1.0.2d.
  • Les utilisateurs qui utilisent 1.0.1n OpenSSL / 1.0.1o devraient passer à 1.0.1p.

Les participants ne sont pas touchés

Heureusement, Mozilla Firefox, Apple Safari et Internet Explorer ne sont pas affectés car ils ne pas utiliser OpenSSL pour la validation du certificat. Ils appliquent leurs bibliothèques crypto. Quant à Google Chrome, il utilise la version BoringSSL qui est Google fait de OpenSSL coopérer avec les développeurs OpenSSL.
Les paquets distribués OpenSSL avec Red Hat, partie Debian et Ubuntu des distributions Linux ne sont pas concernées.
Ouvrir fournisseur de solution source Red Hat a également fait une annonce sur ce sujet que, même qu'ils avaient aucune mise à jour OpenSSL depuis Juin 2015 ils encore entièrement affecté par cette vulnérabilité.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Time limit is exhausted. Please reload the CAPTCHA.