Accueil

Articles dans la catégorie Sécurité

Des failles à combler dans OpenSSL et ImageMagick

4 mai 2016 Sécurité

Une flopée de failles de sécurité, dont certaines sont catégorisées comme « très sévères », ont été publiées hier concernant OpenSSL. Pensez à mettre à jour rapidement. Vous retrouverez ici la liste et les explications. Résumé rapide :

  • La première est causée par deux bugs, et a été introduite par un correctif qui était censé corriger une autre faille. Elle offre une porte d’entrée à la mémoire de la machine hébergeant OpenSSL selon certaines conditions spécifiques ;
  • La deuxième a également été introduite par un autre correctif, et permet une attaque de type padding oracle couplée avec une attaque MITM. Au final, l’attaquant peut déchiffrer le trafic ;
  • Les trois autres sont considérées comme sévérité « basse », je vous laisse lire le document.

Et c’est pas tout. ImageMagick a également été touché par plusieurs failles critiques dont l’ensemble a été joliment nommé ImageTragick. Des failles assez sévère pour créer un site dédié, car une d’entre elles permet une exécution de code à distance. Pour rappel, ImageMagick est utilisé pour manipuler des images par PHP, Ruby, NodeJS, etc… (à condition que l’extension adéquate soit installée).