Une mystérieuse mise à jour d’OpenSSL à venir

L’équipe chargée du projet OpenSSL vient d’annoncer la diffusion ce jeudi 9 juillet d’une mise à jour corrigeant une vulnérabilité de « haute » sévérité.

Manifestement, la librairie OpenSSL n’a pas fini de dévoiler ses vulnérabilités. L’équipe en charge du projet a en effet annoncé hier la diffusion prochaine des versions 1.0.2d et 1.0.1p.

Dans un e-mail, celle-ci explique que ces versions seront disponibles ce jeudi 9 juillet.

Mais l’équipe ne fournit aucun détail sur la vulnérabilité corrigée. Elle se contente, assez mystérieusement, d’indiquer qu’il s’agit d’un « unique défaut de sécurité classé “haute“ sévérité ».

Depuis la révélation de Heartbleed, en avril 2014, la robustesse de la librairie OpenSSL a été largement mise à l’épreuve et… en doute. Deux mois plus tard, de nouvelles failles étaient découvertes. Alors en septembre, l’équipe en charge du projet a manifesté sa détermination à être plus réactive.

Sa démarche de ce lundi 6 juillet apparaît saine, invitant les utilisateurs de la librairie à se préparer à intégrer les mises à jour au plus vite pour une vulnérabilité qualifiée de très sévère.

Pas sûr toutefois que cela produise les résultats escomptés : selon Venafi, début avril 2015, encore 74 % des 2000 plus grandes multinationales avec des systèmes accessibles au public étaient encore vulnérables à Heartbleed.

Pour approfondir sur Menaces informatiques

Soyez le premier à commenter

M'envoyer une notification dès qu'un autre membre commente.

Merci de créer un identifiant pour pouvoir poster votre commentaire.

- ANNONCES GOOGLE

Close