Ce n’est pas une énième attaque SSL qui ne sortira pas d’un labo, mais bel et bien un beau bug ma fois. Avec moultes exploits qui fleurissent depuis hier.
- https://www.openssl.org/news/secadv_20140407.txt
- http://s3.jspenguin.org/ssltest.py
- https://gist.github.com/takeshixx/10107280
- http://blog.inliniac.net/2014/04/08/detecting-openssl-heartbleed-with-suricata/
En clair, on peut dumper 64ko de mémoire du serveur à distance permettant ainsi de récupérer au petit bonheur la chance des Sessions ID et des crédentials et des clefs ssl. Cela impacte les versions 1.0.1 à 1.0.1f et 1.0.2 beta.
Ca crains :) de Apache, Beeware en passant par Juniper, sur du https, Imaps… tout le monde y a droit.
Patchez les enfants, Patchez… et dans le doute, changez de certs