OpenSSL CVE-2015-1793 bug - Ce que vous devez savoir

11 oct. 2017 | Bianca Cordonnier

Vous devez avoir remarqué la découverte d'une autre vulnérabilité grave de la bibliothèque de cryptage OpenSSL. Il a été réparé immédiatement et l'article d'aujourd'hui vous informera sur le problème, vous dire si cette vulnérabilité concerne votre serveur et si vous devez le corriger.

Des vulnérabilités dans OpenSSL apparaissent régulièrement

La découverte de toute vulnérabilité de bibliothèque de cryptage OpenSSL a toujours beaucoup de réaction. Des réactions non positives, cependant, car depuis le bug Heartbleed bien connu de l'année 2014, plusieurs vulnérabilités ont été découvertes. Ils compliquent le travail des administrateurs qui doivent réparer les serveurs et maintenir une sécurité suffisante; et ils ne contribuent pas à créer un bon nom pour les logiciels Open Source ni à encourager la confiance des utilisateurs.

Le principe de la vulnérabilité et ses résultats

La dernière vulnérabilité découverte, qui signifie un écart de sécurité, était une fausse contravention. La vulnérabilité permet aux attaquants de contourner la vérification de la chaîne de confiance d'un certificat et de permettre aux attaques de l'homme dans le milieu (espionner la communication par un tiers). OpenSSL (depuis les versions 1.0.1n et 1.0.2b) a tenté de trouver d'autres méthodes pour le certificat racine lors de la vérification si la première tentative échoue.

Une erreur de mise en œuvre a permis à l'attaquant de contourner certains contrôles de certificats non fiables et, par conséquent, d'utiliser leur propre certificat en tant qu'autorité de certification délivrant des certificats frauduleux. OpenSSL n'a pas de problème avec la fiabilité de ces certificats. Pour être spécifique, il s'agit d'un contrôle cA de Contraintes de base X.509.

Nous devons souligner que l'erreur n'est en aucun cas des proportions Heartbleed. Avec cette vulnérabilité, la probabilité d'une mauvaise utilisation pratique est beaucoup plus faible car les bibliothèques OpenSSL ne sont pas utilisées par les navigateurs Web. Les navigateurs sont à l'abri de la vulnérabilité et découvrent un faux certificat grâce à leurs mécanismes de vérification indépendants d'OpenSSL (Explorer, Firefox, Safari a Chrome). Une fausse vérification peut se produire pendant la communication entre deux serveurs, lorsque OpenSSL serait utilisé pour vérifier un certificat. Toutefois, cela ne se produit pas très souvent.

Comment vérifier la vulnérabilité de votre serveur

Heureusement, la vulnérabilité ne concerne pas toutes les versions OpenSSL. Les quatre versions OpenSSL affectées sont nommées ci-dessous. Vous découvrirez quelle version OpenSSL est installée sur votre serveur en mettant cette commande dans les terminaux

dpkg -s openssl | grep 'Version'

Quatre versions OpenSSL doivent être corrigées; la vulnérabilité CVE-2015-1793 ne concerne que les versions 1.0.2c, 1.0.2b, 1.0.1n, 1.0.1o. Les versions OpenSSL 1.0.2b et 1.0.2c doivent être mises à niveau vers la version 1.0.2d; Les versions 1.0.1n et 1.0.1o doivent être mises à niveau vers 1.0.1p.

Si vous ne faites pas confiance à OpenSSL, essayez ses alternatives

Nous souhaitons aux développeurs OpenSSL plus de chance lors de la vérification des erreurs dans ce paquet et de moins de vulnérabilités pour l'avenir. Si vous avez renoncé à OpenSSL, vous pouvez envisager d'essayer une alternative, telle que LibreSSL (développée et utilisée par OpenBSD) ou BoringSSL. Les auteurs de Boring SSL (une alternative de Google) ont été les auteurs de l'erreur sur le fonds OpenSSL le 24 juin 2015.

Resources :

  1. The OpenSSL “CVE-2015-1793” certificate verification bug – what you need to know 
  2. OpenSSL Security Advisory [9 Jul 2015]

Bianca Cordonnier
Experte certifiée en sécurité SSL
DigiCert TLS/SSL Professional
e-mail: bianca.cordonnier(at)zoner.com