13 avril 2014
Commentaires : 0

Faille de sécurité Heartbleed !

Le 8 avril 2014 dernier, tout le monde s’est réveillé et a découvert, sur les forums et réseaux sociaux, l’existence d’une faille de sécurité critique dans OpenSSL, baptisée Heartbleed.

Cette vulnérabilité a été référencée le 03 décembre 2013 sur le CVE (CVE 2014-0160) et touche toutes les implémentations d’OpenSSL en version 1.0.1, jusqu’à la version 1.0.1f.

Pour information, la version OpenSSL 1.0.1g n’est pas touchée par la vulnérabilité puisqu’il s’agit de la version incorporant le patch de sécurisation.

La vulnérabilité vient plus précisément de l’implémentation de TLS et DTLS, qui ne gère pas correctement les paquets de l’extension « Heartbeat ».

Pour plus d’informations :

Toute l’explication (en anglais) sur ce site :
http://heartbleed.com

Vous trouverez ci-dessous les statuts de nos partenaires que nous supportons, qui pourrait être présents dans votre infrastructure.

VMware

Citrix

Cisco

Sophos

TrendMicro

Et enfin pour tester si vos sites sont vulnérables : http://filippo.io/Heartbleed/#10.90.196.11

Si vous avez besoin d’assistance à propos de cette faille, que vous voulez auditer vos services web, (interne et externe), ou bien même les patcher, Nous sommes là pour vous aider.

Pôle Sécurité ACESI

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *