Une mystérieuse mise à jour d’OpenSSL à venir
L’équipe chargée du projet OpenSSL vient d’annoncer la diffusion ce jeudi 9 juillet d’une mise à jour corrigeant une vulnérabilité de « haute » sévérité.
Manifestement, la librairie OpenSSL n’a pas fini de dévoiler ses vulnérabilités. L’équipe en charge du projet a en effet annoncé hier la diffusion prochaine des versions 1.0.2d et 1.0.1p.
Dans un e-mail, celle-ci explique que ces versions seront disponibles ce jeudi 9 juillet.
Mais l’équipe ne fournit aucun détail sur la vulnérabilité corrigée. Elle se contente, assez mystérieusement, d’indiquer qu’il s’agit d’un « unique défaut de sécurité classé “haute“ sévérité ».
Depuis la révélation de Heartbleed, en avril 2014, la robustesse de la librairie OpenSSL a été largement mise à l’épreuve et… en doute. Deux mois plus tard, de nouvelles failles étaient découvertes. Alors en septembre, l’équipe en charge du projet a manifesté sa détermination à être plus réactive.
Sa démarche de ce lundi 6 juillet apparaît saine, invitant les utilisateurs de la librairie à se préparer à intégrer les mises à jour au plus vite pour une vulnérabilité qualifiée de très sévère.
Pas sûr toutefois que cela produise les résultats escomptés : selon Venafi, début avril 2015, encore 74 % des 2000 plus grandes multinationales avec des systèmes accessibles au public étaient encore vulnérables à Heartbleed.