La bibliothèque open source de chiffrement pour communiquer en SSL ou TLS OpenSSL a été corrigée de deux failles de niveau élevé. Ces dernières permettent à des pirates de mettre à plat un grand nombre de serveurs.
Les premières failles de sécurité – de niveau élevé – pour 2021 frappant OpenSSL viennent d’être repérées. Il faut remonter au 8 décembre 2020 pour en retrouver une de cette gravité. Régulièrement, depuis de nombreuses années, OpenSSL est ciblé par les cyberpirates. En 2014, des pirates sont par exemple parvenus à exploiter une vulnérabilité critique dans la librairie de code open source compromettant les clés de chiffrement lors d’une mémorable faille baptisée Heartbleed. Les responsables en charge de la sécurité d’OpenSSL ont publié deux correctifs afin de palier à ces soucis pouvant déboucher sur le plantage de serveurs.
Un premier exploit de faille référencée en tant CVE-2021-3449 permet à un utilisateur non authentifié de réaliser des attaques par déni de service. Un serveur OpenSSL TLS peut planter à cause d’une renégociation malveillante au niveau d’un message ClientHello. « Si une renégociation TLSv1.2 ClientHello omet l’extension signature_algorithms (où elle était présente dans le ClientHello), mais inclut une extension signature_algorithms_cert puis un NULL un déréférencement de pointeur en résultera, conduisant à un plantage et une attaque en déni de service ». A noter que les clients OpenSSL TLS ne sont pas concernés par ce souci. Ce dernier a été signalé à OpenSSL le 17 mars 2021 par Nokia et le correctif développé par Peter Kästle et Samuel Sapalski de la même firme.
Toutes les versions OpenSSL 1.1.1 sont concernées et une montée de version vers la 1.1.1k conseillés, sachant que la version 1.0.2 de ce protocole de sécurité n’est pas concernée par cette vulnérabilité.
Un contournement de contrôle de l’émission de certificats de sécurité non conformes
OpenSSL a également corrigé une vulnérabilité distincte qui, dans les cas extrêmes, empêche les applications de détecter et de rejeter les certificats TLS qui ne sont pas signés par une autorité de certification approuvée par le navigateur. La vulnérabilité, suivie en tant que CVE-2021-3450, implique l’interaction entre un indicateur X509_V_FLAG_X509_STRICT trouvé dans le code et plusieurs paramètres. « Une erreur dans la mise en œuvre de ce contrôle signifiait que le résultat d’une vérification précédente pour confirmer que les certificats de la chaîne sont valides au niveau de l’autorité de certification a été écrasé. Cela contourne efficacement le contrôle relatif aux certificats non émis par ces autorités et en bloque l’émission », poursuit OpenSSL.
Pour échapper à cette faille, il est aussi conseillé de basculer vers la version 1.1.1k de la bibliothèque open source, tandis que la 1.0.2 n’es pas impactée. Ce problème a été signalé à OpenSSL le 18 mars 2021 par Benjamin Kaduk d’Akamai et a été découvert par Xiang Ding et d’autres à Akamai. Le correctif était développé par Tomáš Mráz.