Une faille critique dans GnuTLS

Des chercheurs de la firme « Codenomicon », spécialisée dans la sécurité, ont réussi à découvrir une nouvelle vulnérabilité critique dans la bibliothèque « GnuTLS »

, après celle découverte dans « OpenSSL ». Cette bibliothèque permet de gérer des certificats électroniques et d'implémenter des protocoles SSL & TLS sous plusieurs distributions du système d’exploitation Linux, notamment Red Hat, Debian et Ubuntu. Elle est utilisée, également, dans d’autres solutions open source.

La faille découverte repose sur la méthode utilisée dans GnuTLS pour analyser les identifiants de sessions des messages « ServerHello » et « handshake » des protocoles TLS/SSL. Cette méthode permet aux attaquants d’employer un serveur malveillant pour envoyer un ID de session trop long pour établir une connexion HTTP chiffrée afin de planter l’application ou d’exécuter un code arbitraire (code utilisé dans le piratage informatique).

Par ailleurs, la découverte successive de plusieurs failles critiques dans des outils open source a poussé les acteurs de l’IT à financer des projets open source pour prévenir d’éventuels bugs ou failles de sécurité.

Pour en savoir plus

www.codenomicon.com/company