Passez votre 1er novembre à patcher OpenSSL
Le 31 octobre 2022 à 06h23
1 min
Logiciel
Logiciel
Comme le dit Zdnet, « tout le monde dépend d’OpenSSL ». Et en ce jour de Toussaint, n’hésitez pas à prendre un peu de temps pour patcher OpenSSL vers la version 3.0.7 même si on ne connaît pas encore les détails de la faille de sécurité de la bibliothèque de chiffrement du protocole SSL/TLS.
L’annonce d’une mise à jour « critique » a été faite sur la mailing list d’OpenSSL mardi dernier et relayée par le vice-président de la sécurité de l'Apache Software Foundation (ASF), Mark Cox.
Le caractère critique signifie que les configurations fréquemment utilisées peuvent être touchées et que la faille est exploitable. Elle n’affecte cependant pas les versions qui précèdent la 3.0. Le patch sera disponible à partir de mardi 1er novembre entre 15 h et 19 h.
Le 31 octobre 2022 à 06h23
Commentaires (29)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 31/10/2022 à 08h20
Le fait que ce ne sont que les versions 3.0 qui sont touchées limite quand même pas mal le risque, il y a une liste des versions embarquées avec les distributions ici :
https://isc.sans.edu/forums/diary/Upcoming+Critical+OpenSSL+Vulnerability+What+will+be+Affected/29192
Le 31/10/2022 à 08h36
Merci pour l’info!
Le 31/10/2022 à 08h51
Merci pr la liste 👍
Le 31/10/2022 à 09h18
C’est bon, je suis en 1.1.1. :)
Le 31/10/2022 à 18h06
laquelle? les versions 1.1.1 chez openssl terminent par une lettre, la dernière étant la ‘q’ sortie le 12 octobre comme la 3.0.5, en attendant la 3.0.7 citée ici.
Et il va bien falloir passer prochainement à la 3.x puisque la 1.1.1 arrive en fin de support dans < 1 an:
Le 31/10/2022 à 18h14
la 1.1.1n-0+deb11u3
Pour le passage à la 3.x, je laisse Debian gérer cela.
Le 31/10/2022 à 10h31
En effet, même sous gentoo, openssl 3 est masqué :)
Le 31/10/2022 à 08h57
Sinon y a mieux, sont fork LibreSSL qui a éradiqué une grande quantité de surface d’attaque inutile présent dans OpenSSL et qui utilise de meilleurs pratiques en programmation.
Le 31/10/2022 à 10h32
Je me demande pourquoi libressl n’est pas plus utilisé.
Quels sont les contraintes de la bascule de l’un à l’autre?
Le 31/10/2022 à 11h16
Ou GnuTLS. Après je ne sais pas quelles sont les différences entre les 3…
Le 31/10/2022 à 11h33
GnuTLS est vraiment à part à cause de la licence LGPL 2.1+ qui ne permet pas de l’utiliser (facilement) en entreprise dans des projets propriétaires.
La licence OpenSSL+SSLeay (puis Apache 2.0 à partr d’OpenSSL 3.0) est beaucoup permissive de ce point de vue.
Pour LibreSSL, une des critiques est qu’il se place en remplaçant “drop-in” mais que dans les faits ce n’est pas le cas, apportant plus de risques que d’avantages (et le développement d’OpenSSL a pas mal évolué, en partie avec la version 3, rendant une partie des critiques obsolètes).
Le 01/11/2022 à 10h27
Merci pour la réponse :)
Le 31/10/2022 à 12h48
Je crois tout simplement que LibreSSL n’est pas un remplaçant 1:1 d’OpenSSL, il faut adapter certains changements.
Le 31/10/2022 à 13h59
Et en complément des nombreuses réponses, depuis Heartbleed, OpenSSL a maintenant un vrai support financier (même s’il n’est pas énorme non plus) mais qui aide à maintenir le code. De mémoire, avant HeartBleed, OpenSSL recevait moins de 2000$ par an, ce qui était vraiment ridicule vu la criticité de cette librairie.
https://www.openssl.org/support/acks.html
https://www.openssl.org/support/donations.html
https://www.openssl.org/community/thanks.html
https://www.numerama.com/politique/29187-openssl-financement-geants-du-net.html
Le 03/11/2022 à 06h44
LibreSSL est parfaitement remplaçable pour la version OpenSSL 1.0.2 pour ce qui est de l’API. Par contre, pour l’API 1.1.1 d’OpenSSL c’est une autre histoire. Et comme les programmes évoluent et exigent des versions plus récentes, la compatibilité casse.
Perso, j’ai utilisé LibreSSL sur une Gentoo quand il était encore supporté dans l’arbre officiel. Mais depuis trop de programme ont fini par casser : fetchmail, tout ce qui est lié à Qt5 (une des raison pour lesquelles une autre distrib, Void Linux ou Alpine Linux a fini par lâcher l’affaire, les programmes et librairies Qt5 étant trop lourd à patcher, sous Gentoo ça fonctionnait déjà pas, mais je n’utilisais pas de programme Qt5 donc ça m’était égal). Python 3.9 est également la dernière version à être vraiment compatible avec LibreSSL (une raison qui rend Gentoo difficilement utilisable même avec l’overlay LibreSSL, certains paquets demandant déjà Python 3.10 pour être utilisé).
Une nouvelle version de LibreSSL est publié tous les 6 mois (pouvant casser la compatibilité avec la version précédente). Chaque version est tout au plus maintenue un an. L’intégration dans une distribution qui essaye d’avoir au moins 2 ans de support devient alors compliqué. Soit il faut une distrib qui publie une mise à jour majeur tous les 6 mois - 1 an max, soit il faut être en rolling release. C’est pour ça qu’il était possible de trouver le truc sous Gentoo. On peut encore le trouver sous FreeBSD (les ports étant en mode rolling release, mais sa présence dans les ports ne signifie pas que tout compile correctement avec). Sinon il y a OpenBSD. Mais parce que l’un est inclus dans l’autre.
Le 31/10/2022 à 11h08
Dans mon cas j’utilise Fedora Workstation comme distro GNU et bien qu’il adopte des technologies plus récentes avant d’autres distros comme PipeWire,Wayland et bientôt F-Security qui s’accompagnent souvent d’améliorations de la sécurité, de la confidentialité et de l’utilisabilité, je crois qu’ils utilisent eux-aussi OpenSSL, et ils sont à la version 3.0 avec la version 6, en tout cas, j’ai aucune preuve que Fedora utilise LibreSSL.
Gentoo Linux utilisait LibreSSL, mais son support officiel a pris fin et ils sont retourné à OpenSSL, bien qu’on puisse toujours l’utiliser, bref ça m’intéresse de savoir ce qui coince.
Le 02/11/2022 à 00h56
perso j’ai simplifié, ici c’est openbsd en desktop dwm/xfce partout.
Le 31/10/2022 à 14h56
Ah les failles openSSL c’est un peu comme les problèmes d’imprimantes sous Windows : un vieux serpent de mer qui émerge de temps à autre
Le 31/10/2022 à 16h52
c’est le “trick or treat ?” version geek.
Le 31/10/2022 à 18h41
quant à patcher openssl, c’est vraiment pas donné à tout le monde: AMHA, il faut être sacrément expérimenté en programmation C et en cryptographie, avec une bonne dose de confiance, pour contribuer au projet.
Le 01/11/2022 à 17h09
L’avis est sorti et la faille n’est désormais plus classée critique :
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
Et d’ailleurs, elle ne concerne pas grand monde :
https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/
Le 02/11/2022 à 12h35
Il suffit d’installer Linux
Le 02/11/2022 à 12h50
Pour faire quoi ?
Le 02/11/2022 à 12h54
Si je dois expliquer c’est que c’est une mauvaise blague.
Explication : C’est un message régulièrement posté à chaque nouvelle faille Windows
Le 02/11/2022 à 12h56
Mais en fait, c’est vrai, avec une bonne distrib Linux comme la mienne, on n’est pas touché, avec une moins bonne, elle se patche toute seule pour les problèmes de sécurité.
Le 02/11/2022 à 13h00
Sauf qu’aucune machine Windows n’est touchée par la faille OpenSSL (bon je laisse tombe, j’essaie de faire de l’humour par l’absurde mais là ça devient pathétique).
Le 02/11/2022 à 17h20
Laisse moi t’aider : Il suffit de désactiver les couches utilisant openSSL dans l’application, comme ça plus de risque d’être vulnérable à des failles de celle-ci.
Le 02/11/2022 à 18h59
Le 02/11/2022 à 19h04