Des failles à combler dans OpenSSL et ImageMagick

Une flopée de failles de sécurité, dont certaines sont catégorisées comme “très sévères”, ont été publiées hier concernant OpenSSL. Pensez à mettre à jour rapidement. Vous retrouverez ici la liste et les explications. Résumé rapide :

• La première est causée par deux bugs, et a été introduite par un correctif qui était censé corriger une autre faille. Elle offre une porte d’entrée à la mémoire de la machine hébergeant OpenSSL selon certaines conditions spécifiques ;
• La deuxième a également été introduite par un autre correctif, et permet une attaque de type padding oracle couplée avec une attaque MITM. Au final, l’attaquant peut déchiffrer le trafic ;
• Les trois autres sont considérées comme sévérité “basse”, je vous laisse lire le document.

Et c’est pas tout. ImageMagick a également été touché par plusieurs failles critiques dont l’ensemble a été joliment nommé ImageTragick. Des failles assez sévère pour créer un site dédié, car une d’entre elles permet une exécution de code à distance. Pour rappel, ImageMagick est utilisé pour manipuler des images par PHP, Ruby, NodeJS, etc… (à condition que l’extension adéquate soit installée).