Une faille critique dans la librairie GnuTLS

Par:
fredericmazue

jeu, 05/06/2014 - 15:42

D'une certaine façon, on peut dire que le coeur continue de saigner dans le monde de l'open source. Après la très grave faille Heartbleed découverte dans OpenSSL, c'est une faille similaire qui a été découverte dans la librairie GnuTLS, une librairie qui implémente les protocoles SSL et TLS. GnuTLS est utilisée, en lieu et place d'OpenSSL, par de nombreuses distributions, notamment : Debian, Red Hat, Ubuntu. Les autres distributions basées sur Debian doivent bien entendu être surveillées.

La faille a été découverte par des chercheurs de codenomicon, les mêmes qui avaient découvert la faille Heartbleed. Un billet de blog technique explique cette vulnérabilité.

La faille se situe dans la négociation (handshake) d'une connexion HTTP chiffrée. Un attaquant peut envoyer un identifiant de session trop long, ce qui aboutit à une corruption mémoire.

Cette corruption mémoire peut potentiellement entrainer un plantage de la machine, ou, pire, une exécution de code à distance.

Il n'y aurait pour l'instant pas d'exploit connu de cette faille. Des correctifs ayant été publiés,  n'omettez pas de patcher vos serveurs le plus rapidement possible.