La bibliothèque cryptographique est notamment utilisée dans GnuPG pour le chiffrement des données. Une faille sérieuse y a été découverte par Tavis Ormandy de l’équipe Project Zero de Google.
La faille est de type dépassement du tas (heap overflow), ou plus précisément un dépassement de mémoire tampon dans le tas, c’est-à-dire la zone de mémoire dynamique allouée à un programme pour son exécution.
Cette brèche n’existe que dans la version 1.9.0 de la bibliothèque. Selon GnuPG, elle serait apparue dans son développement il y a deux ans. L’équipe a très vite réglé le problème et propose depuis une mouture 1.9.1.
L’auteur de la bibliothèque, Werner Koch, note de son côté : « Exploiter ce bug est simple et une action immédiate pour les utilisateurs de la 1.9.0 est donc requise. Les tarballs de la 1.9.0 sur notre serveur FTP ont été renommés pour que les scripts ne puissent plus viser cette version ».
On l’aura compris, les utilisateurs sont invités à récupérer la mouture 1.9.1 aussi rapidement que possible.
Commentaires (2)
#1
Enfin bon il serait intéressant de voit les librairies faisant des outils de sécurité basculé sur des language qui sont imunisé au dépassement de mémoire :/
#2
ça va Debian Stable n’a que la 1.8.4-5 donc pas concerné!