Comme le dit Zdnet, « tout le monde dépend d’OpenSSL ». Et en ce jour de Toussaint, n’hésitez pas à prendre un peu de temps pour patcher OpenSSL vers la version 3.0.7 même si on ne connaît pas encore les détails de la faille de sécurité de la bibliothèque de chiffrement du protocole SSL/TLS.
L’annonce d’une mise à jour « critique » a été faite sur la mailing list d’OpenSSL mardi dernier et relayée par le vice-président de la sécurité de l'Apache Software Foundation (ASF), Mark Cox.
Le caractère critique signifie que les configurations fréquemment utilisées peuvent être touchées et que la faille est exploitable. Elle n’affecte cependant pas les versions qui précèdent la 3.0. Le patch sera disponible à partir de mardi 1er novembre entre 15h et 19h.
Commentaires (32)
#1
Le fait que ce ne sont que les versions 3.0 qui sont touchées limite quand même pas mal le risque, il y a une liste des versions embarquées avec les distributions ici :
https://isc.sans.edu/forums/diary/Upcoming+Critical+OpenSSL+Vulnerability+What+will+be+Affected/29192
#1.1
Merci pour l’info!
#1.2
Merci pr la liste 👍
#1.3
C’est bon, je suis en 1.1.1. :)
#1.5
laquelle? les versions 1.1.1 chez openssl terminent par une lettre, la dernière étant la ‘q’ sortie le 12 octobre comme la 3.0.5, en attendant la 3.0.7 citée ici.
Et il va bien falloir passer prochainement à la 3.x puisque la 1.1.1 arrive en fin de support dans < 1 an:
#1.6
la 1.1.1n-0+deb11u3
Pour le passage à la 3.x, je laisse Debian gérer cela.
#1.4
En effet, même sous gentoo, openssl 3 est masqué :)
#2
Sinon y a mieux, sont fork LibreSSL qui a éradiqué une grande quantité de surface d’attaque inutile présent dans OpenSSL et qui utilise de meilleurs pratiques en programmation.
#2.1
Je me demande pourquoi libressl n’est pas plus utilisé.
Quels sont les contraintes de la bascule de l’un à l’autre?
#2.2
Ou GnuTLS. Après je ne sais pas quelles sont les différences entre les 3…
#2.3
GnuTLS est vraiment à part à cause de la licence LGPL 2.1+ qui ne permet pas de l’utiliser (facilement) en entreprise dans des projets propriétaires.
La licence OpenSSL+SSLeay (puis Apache 2.0 à partr d’OpenSSL 3.0) est beaucoup permissive de ce point de vue.
Pour LibreSSL, une des critiques est qu’il se place en remplaçant “drop-in” mais que dans les faits ce n’est pas le cas, apportant plus de risques que d’avantages (et le développement d’OpenSSL a pas mal évolué, en partie avec la version 3, rendant une partie des critiques obsolètes).
#2.6
Merci pour la réponse :)
#2.4
Je crois tout simplement que LibreSSL n’est pas un remplaçant 1:1 d’OpenSSL, il faut adapter certains changements.
#2.5
Et en complément des nombreuses réponses, depuis Heartbleed, OpenSSL a maintenant un vrai support financier (même s’il n’est pas énorme non plus) mais qui aide à maintenir le code. De mémoire, avant HeartBleed, OpenSSL recevait moins de 2000$ par an, ce qui était vraiment ridicule vu la criticité de cette librairie.
https://www.openssl.org/support/acks.html
https://www.openssl.org/support/donations.html
https://www.openssl.org/community/thanks.html
https://www.numerama.com/politique/29187-openssl-financement-geants-du-net.html
#2.7
LibreSSL est parfaitement remplaçable pour la version OpenSSL 1.0.2 pour ce qui est de l’API. Par contre, pour l’API 1.1.1 d’OpenSSL c’est une autre histoire. Et comme les programmes évoluent et exigent des versions plus récentes, la compatibilité casse.
Perso, j’ai utilisé LibreSSL sur une Gentoo quand il était encore supporté dans l’arbre officiel. Mais depuis trop de programme ont fini par casser : fetchmail, tout ce qui est lié à Qt5 (une des raison pour lesquelles une autre distrib, Void Linux ou Alpine Linux a fini par lâcher l’affaire, les programmes et librairies Qt5 étant trop lourd à patcher, sous Gentoo ça fonctionnait déjà pas, mais je n’utilisais pas de programme Qt5 donc ça m’était égal). Python 3.9 est également la dernière version à être vraiment compatible avec LibreSSL (une raison qui rend Gentoo difficilement utilisable même avec l’overlay LibreSSL, certains paquets demandant déjà Python 3.10 pour être utilisé).
Une nouvelle version de LibreSSL est publié tous les 6 mois (pouvant casser la compatibilité avec la version précédente). Chaque version est tout au plus maintenue un an. L’intégration dans une distribution qui essaye d’avoir au moins 2 ans de support devient alors compliqué. Soit il faut une distrib qui publie une mise à jour majeur tous les 6 mois - 1 an max, soit il faut être en rolling release. C’est pour ça qu’il était possible de trouver le truc sous Gentoo. On peut encore le trouver sous FreeBSD (les ports étant en mode rolling release, mais sa présence dans les ports ne signifie pas que tout compile correctement avec). Sinon il y a OpenBSD. Mais parce que l’un est inclus dans l’autre.
#3
Dans mon cas j’utilise Fedora Workstation comme distro GNU et bien qu’il adopte des technologies plus récentes avant d’autres distros comme PipeWire,Wayland et bientôt F-Security qui s’accompagnent souvent d’améliorations de la sécurité, de la confidentialité et de l’utilisabilité, je crois qu’ils utilisent eux-aussi OpenSSL, et ils sont à la version 3.0 avec la version 6, en tout cas, j’ai aucune preuve que Fedora utilise LibreSSL.
Gentoo Linux utilisait LibreSSL, mais son support officiel a pris fin et ils sont retourné à OpenSSL, bien qu’on puisse toujours l’utiliser, bref ça m’intéresse de savoir ce qui coince.
#3.1
perso j’ai simplifié, ici c’est openbsd en desktop dwm/xfce partout.
#4
Ah les failles openSSL c’est un peu comme les problèmes d’imprimantes sous Windows : un vieux serpent de mer qui émerge de temps à autre
#5
c’est le “trick or treat ?” version geek.
#6
quant à patcher openssl, c’est vraiment pas donné à tout le monde: AMHA, il faut être sacrément expérimenté en programmation C et en cryptographie, avec une bonne dose de confiance, pour contribuer au projet.
#7
L’avis est sorti et la faille n’est désormais plus classée critique :
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
Et d’ailleurs, elle ne concerne pas grand monde :
https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/
#8
Il suffit d’installer Linux
#8.1
Pour faire quoi ?
#8.2
Si je dois expliquer c’est que c’est une mauvaise blague.
Explication : C’est un message régulièrement posté à chaque nouvelle faille Windows
#8.3
Mais en fait, c’est vrai, avec une bonne distrib Linux comme la mienne, on n’est pas touché, avec une moins bonne, elle se patche toute seule pour les problèmes de sécurité.
#8.4
Sauf qu’aucune machine Windows n’est touchée par la faille OpenSSL (bon je laisse tombe, j’essaie de faire de l’humour par l’absurde mais là ça devient pathétique).
#9
Laisse moi t’aider : Il suffit de désactiver les couches utilisant openSSL dans l’application, comme ça plus de risque d’être vulnérable à des failles de celle-ci.
#9.1
#9.2