CIRCL vient de publier une alerte concernant la découverte d’une vulnérabilité critique mettant en danger les communications cryptées, et les données sur les serveurs dans l’implémentation de l’extension Heartbleed de OpenSSL. Ceci signifie que n’importe qui peut récupérer et prélever des données sensibles de la mémoire des serveurs à distance (ex : clés secrètes, mots de passe, documents confidentiels), sans laisser de traces.CIRCL invite les utilisateurs à patcher leur version.

“C’est une vulnérabilité critique et il est urgent de patcher votre logiciel OpenSSL au plus vite, explique Sascha Rommelfangen de CIRCL. Il sera également nécessaire d’évaluer et de vérifier toute information sensible, notamment les clés privées et les certificats. Nous recommandons au moins de régénérer les paires de clés X.509.”

Les versions OpenSSL 1.0.1, jusqu’à 1.0.1f inclus, et OpenSSL 1.0.2-beta1 sont affectées. Il est important de noter que les versions précédentes ne sont pas vulnérables.

Le Computer Incident Response Center Luxembourg (CIRCL) est une initiative gouvernementale qui vise à fournir un centre de réponse systématique aux menaces et aux incidents impactant la sécurité informatique. CIRCL met à jour heure par heure la page web concernant cette vulnérabilité, ainsi que sa page Twitter.