GlobalSign Blog

Urgent : Corrigez OpenSSL le 1er novembre pour éviter une vulnérabilité "critique" en matière de sécurité

Urgent : Corrigez OpenSSL le 1er novembre pour éviter une vulnérabilité

Cela affecte très certainement votre organisation

Une vulnérabilité critique a été découverte dans les versions actuelles d'OpenSSL et devra être corrigée immédiatement. Le projet OpenSSL publiera la version 3.0.7 le mardi 1er novembre 2022. Il s'agit d'une mise à jour critique qui doit être effectuée immédiatement.  

Pour vous expliquer un peu, OpenSSL est une bibliothèque logicielle largement utilisée pour permettre des connexions réseau sécurisées. Et par largement exploitée, je veux dire presque complètement omniprésente. Si vous utilisez HTTPS, il y a des chances que vous utilisiez OpenSSL. Presque tout le monde le fait.  

Donc, c'est quelque chose dont tout le monde doit être conscient. 

OpenSSL est développé par le projet OpenSSL, qui a annoncé le mercredi 26 octobre qu'il publierait un correctif pour une vulnérabilité critique le mardi suivant, le 1er novembre.  

Voici comment le projet OpenSSL définit une vulnérabilité critique : 

"Vulnérabilité CRITIQUE. Cela affecte les configurations courantes et qui sont également susceptibles d'être exploitables. Il peut s'agir par exemple d'une divulgation importante du contenu de la mémoire du serveur (pouvant révéler des détails sur l'utilisateur), de vulnérabilités pouvant être facilement exploitées à distance pour compromettre les clés privées du serveur ou pour lesquelles l'exécution de code à distance est considérée comme probable dans des situations courantes. Ces problèmes seront gardés privés et déclencheront une nouvelle version de toutes les versions prises en charge. Nous tenterons de les résoudre dès que possible." 

Comme c'est la norme dans ces situations de sécurité, les détails ne sont pas disponibles quant à la menace exacte ou à l'emplacement de la faiblesse, car ils essaient d'éviter d'alerter les mauvais acteurs opportunistes qui pourraient exploiter la vulnérabilité avant qu'elle ne soit corrigée.  

Le but de cette notification n'est pas de déclencher la panique, il n'y a aucune raison de paniquer - cela requiert simplement votre vigilance.

Assurez-vous que les personnes concernées dans votre organisation sont au courant de cette vulnérabilité, de sa gravité potentielle et de la nouvelle version d'OpenSSL (3.0.7) qui arrivera le 1er novembre.  

Si vous êtes cette personne, vous devez vérifier que vous utilisez bien OpenSSL et quelle version vous utilisez. Voici la nuance, cela affecte la version 3, donc si vous utilisez la version 3.0.6 ou antérieure vous allez devoir appliquer un correctif immédiatement. 

Si vous utilisez la version 1.1.1, cette vulnérabilité ne vous affecte pas, mais une mise à jour de la version 1.1.1 est également prévue mardi, la version 1.1.1s, vers laquelle vous devrez de toute façon effectuer une mise à jour, alors autant prévoir un peu de temps mardi également. 

Pour des conseils complets sur la façon de mettre à jour OpenSSL, veuillez vous référer à OpenSSL.org/source. N'oubliez pas qu'il s'agit d'une vulnérabilité critique et que plus vous attendez avant de procéder à la mise à jour, plus votre réseau est menacé.

GlobalSign est fier d'être votre partenaire numérique de confiance, nous surveillons de près cette situation et continuerons à fournir des mises à jour sur le blog et via la communication directe avec les clients (e-mail) si d'autres actions sont nécessaires.  

Share this Post

Blogs récents