Un vilain bug dans OpenSSL

OpenSSL est une librairie OpenSource utilisée dans de nombreux logiciels comme Apache ou encore nginx (et même des apps Mac/iOS) et la moindre faille de sécurité met donc en dangers des millions d'utilisateurs potentiels. Des ingénieurs de Google et de la société spécialisée Codenomicon ont découvert un bug assez gênant, permettant de récupérer la clef privée ainsi que toutes les informations habituellement chiffrées (mots de passe etc.). Pour la petite histoire, il ne s'agit pas d'un trou de sécurité dans la librairie, mais d'un problème d'implémentation. La faille permet en fait de téléchargement directement d'une partie du contenu en mémoire (et visible en clair, donc), même si la méthode utilisée n'est pas à la portée de n'importe qui. Pire encore, l'exploitation du bug ne laisserait... aucune trace. Si le sujet vous intéresse, tout est expliqué ici. Un correctif est inclus dans la version OpenSSL 1.0.1g.