Les développeurs avaient prévenu il y a quelques jours qu’un correctif serait déployé pour corriger des failles, laissant penser que la dangerosité serait élevée.
Deux brèches ont été identifiées. La première (CVE-2021-3449) permet à des pirates de faire planter un serveur OpenSSL à distance, la seconde (CVE-2021-3450) concerne la gestion des certificats et a été introduite avec OpenSSL 1.1.1h.
Comme toujours, il est plus que recommandé de se mettre à jour dès que possible.
Commentaires (3)
#1
Ce serait intéressant de voir si LibreSSL ou s2n sont également affectés. Je me demandais aussi si les reproches faits à OpenSSL (qui ont amené à créer LibreSSL) sont résolus.
#1.1
Pour beaucoup il semblerait, je suis tombé sur cet article très intéressant à propos du statut de libressl et d’openssl : https://lwn.net/Articles/841664/
#1.2
Merci pour le lien vers cet article.