Heartbleed (CVE-2014-0160)

Description

Heartbleed (CVE-2014-0160) est une faille de sécurité dans la bibliothèque de cryptographie OpenSSL, une implémentation largement utilisée du protocole TLS (Transport Layer Security). Elle a été introduite dans le logiciel en 2012 et divulguée publiquement en avril 2014.

Heartbleed peut être exploitée indépendamment du fait que l'instance OpenSSL vulnérable s'exécute en tant que serveur ou client TLS. Elle résulte d'une validation d'entrée incorrecte (en raison de l'absence de vérification des limites) dans l'implémentation de l'extension heartbeat TLS ; ainsi, le nom du bug dérive de heartbeat. De plus, la vulnérabilité est classée comme un dépassement de tampon en lecture (buffer over-read), où plus de données peuvent être lues que ce qui devrait être autorisé.

Recommandation

Pour atténuer le risque de la vulnérabilité Heartbleed, considérez :

Mettre à jour OpenSSL : Assurez-vous d'utiliser la dernière version d'OpenSSL contenant le correctif pour Heartbleed. Mettez à jour vos systèmes, applications et appareils vers la version corrigée.
Remplacer les Certificats SSL : Générez de nouveaux certificats SSL pour vos serveurs et révoquez les anciens. Cela permet de prévenir l'exploitation potentielle de clés privées compromises.
Réinitialiser les Identifiants Utilisateurs : Encouragez les utilisateurs à changer leurs mots de passe, surtout s'ils se sont connectés à des services affectés pendant la période où Heartbleed était présente.

Liens

Normes

PCI_STANDARDS:
- REQ_2_2
- REQ_4_2
- REQ_6_2
- REQ_6_3
- REQ_6_4
- REQ_11_3
SOC2_CONTROLS:
- CC_2_1
- CC_4_1
- CC_7_1
- CC_7_2
- CC_7_4
- CC_7_5
HIPAA_CONTROLS:
- SECURITY252
- SECURITY212
- SECURITY213
- SECURITY255
- SECURITY258