Après OS X et iOS, Linux victime d’un contrôle défaillant des certificats
Alors qu’Apple vient de proposer des correctifs pour une faille dans le contrôle des certificats de chiffrement, c’est au tour de Linux de souffrir d’une faille comparable.
Red Hat vient de prévenir ses clients et de les inviter à déployer les packages mis à jour de GnuTLS. L’éditeur explique ainsi qu’il a été « découvert que GnuTLS ne gère pas correctement certaines erreurs susceptibles de survenir lors de la vérification d’un certificat X.509, le conduisant à faire état par erreur d’une vérification réussie ». De quoi rappeler une vulnérabilité critique d’iOS et d’OS X qu’Apple vient tout juste de corriger. Celle-ci conduisait à l’omission de la vérification d’une clé publique temporaire lors de l’établissement de liens TLS et SSL.
Dans les deux cas, le risque est le même : celui d’une interception du trafic par une attaque de type man-in-the-middle. L’application des mises à jour disponibles s’impose donc sans délai.