Très sérieuse faille de sécurité dans la bibliothèque #OpenSSL. Elle permet à un client de lire la mémoire du serveur et, donc, notamment les clés privées. (C’est une faille d’une mise en œuvre, pas une faille générale de #TLS.)
Comme 50 % du travail d’un chercheur en sécurité, aujourd’hui, se passe à trouver un nom qui claque pour la vulnérabilité découverte, celle-ci est « le cœur qui saigne ».
Outre l’habituelle mise à jour urgente des logiciels, il est sans doute nécessaire de changer toutes ses clés privées (et donc de refaire signer ses certificats). Bon, dans le cas de SeenThis, ce n’est pas trop difficile :-)
Le site officiel : ▻http://heartbleed.com
Bon article de synthèse : ▻http://www.zdnet.com/heartbleed-serious-openssl-zero-day-vulnerability-revealed-7000028166
L’article de CloudFlare, apparemment publié avant tout le monde, pour frimer, au risque de révéler la faille avant que les mises à jour soient prêtes : ▻https://blog.cloudflare.com/staying-ahead-of-openssl-vulnerabilities
La faille porte l’identificateur CVE-2014-0160. Encore rien sur le site CVE : ▻http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
L’alerte de sécurité de OpenSSL : ▻https://www.openssl.org/news/secadv_20140407.txt