Le Privacy Shield, l'accord sur le transfert de données entre l'Europe et les États-Unis, est revendiqué par 200 entités commerciales, dont Microsoft.

L'Image du jour

Le Privacy Shield, l'accord sur le transfert de données entre l'Europe et les États-Unis, est revendiqué par 200 entités commerciales, dont Microsoft.

Silicon Valley 2016 : Cap sur l'innovation technologique (2e partie)

Dernier Dossier

Silicon Valley 2016 : Cap sur l'innovation technologique (2e partie)

En juin dernier, nous avons passé un peu de temps à San Francisco et dans la Silicon Valley avec une dizaine de journalistes européens pour les derniè...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Chiffrement : neuf correctifs pour OpenSSL

Plusieurs mises à jour ont été livrées cette semaine pour OpenSSL 1.0.1i, 1.0.0n et 0.9.8zb.

Plusieurs mises à jour ont été livrées cette semaine pour OpenSSL 1.0.1i, 1.0.0n et 0.9.8zb.

Il est conseillé aux administrateurs d'appliquer les mises à jour livrées cette semaine pour le composant de chiffrement OpenSSL.

Neuf correctifs viennent d'être livrés pour la bibliothèque de chiffrement OpenSSL, mais aucun des problèmes qu'ils viennent résoudre n'est aussi sérieux que ne l'était la vulnérabilité Heartbleed. Au printemps dernier, cette dernière avait provoqué une vive inquiétude dans la communauté informatique et conduit les fournisseurs à devoir produire rapidement des correctifs, la bibliothèque Open Source étant très largement utilisée au niveau mondial.

Le bulletin d'alerte associé à la dernière mise à jour détaille des failles qui ont été signalées entre juin et juillet par les analystes en sécurité de Google, Codenomicon, LogMeIn et NCC Group. Des problèmes pourraient être déclenchés par des attaques en déni de service conduisant OpenSSL à planter ou à consommer beaucoup de mémoire, notamment.

La bêta 2 d'OpenSSL 1.0.2 est disponible depuis 15 jours

Le code d'OpenSSL a été examiné de très près depuis avril dernier après la découverte, par Codenomicom, de la vulnérabilité Heartbleed qui risquait d'exposer des mots de passe et des clés privées SSL/TLS utilisées pour décoder le flux de données chiffrées. De surcroît, il n'était pas possible de détecter les attaques exploitant la faille. Assez vite, une quinzaine de poids lourds de l'industrie informatique dont Microsoft, IBM, Google, Facebook et VMware, ont constitué la Core Infrastructure Initiative (CII) pour renforcer ensemble la sécurité d'OpenSSL, en apportant leur soutien financier et leur expertise. En juin, Google a néanmoins indiqué qu'il se concentrait désormais sur sa propre version d'OpenSSL (surnommée BoringSSL) tout en continuant à envoyer des correctifs au projet Open Source et en maintenant son soutien à la CII.

L'un des correctifs livrés cette semaine pour Open SSL rectifie une erreur qui conduisait le serveur à passer à un niveau de sécurité inférieur lorsqu'un message « ClientHello » mal fragmenté était envoyé au serveur lors d'une attaque de type « man-in-the-middle », explique le bulletin. Par ailleurs, la bêta 2 d'OpenSSL 1.0.2 est disponible depuis le 22 juillet.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité