Node : sorties des nouvelles révisions corrigeant les problèmes OpenSSL
Pour la plateforme JavaScript
Le 2016-03-09 14:58:06, par vermine, Expert éminent sénior
Node : sorties des nouvelles révisions corrigeant les problèmes OpenSSL
pour la plateforme JavaScript
Suite aux problèmes de sécurité rencontrés par l'outil OpenSSL, l'équipe de Node vient d'annoncer la sortie des révisions :
Pour les révisions 4.3.2 et 5.7.1, c'est la version 1.0.2g de OpenSSL qui est maintenant utilisée. Cela corrige le parsing des clefs DSA qui peut être potentiellement utilisé pour faire des attaques DoS ou de corruption de mémoire. Malgré les termes cités, il faut relativiser car les utilisateurs de Node.js n'étaient quasi pas impactés par ce problème. C'est un peu moins le cas pour les attaques du CacheBleed qui concernent la récupération des clefs privées RSA lorsqu'on utilise les thread sur une micro architecture Intel Sandy Bridge.
Pour les révisions 0.10.43 et 0.12.12, c'est la version 1.0.1s de OpenSSL qui est maintenant utilisée. Version qui corrige les mêmes problèmes. L'équipe Node.js a également supprimer le support de SSLv2 qui favorise les attaques DROWN.
Descriptions officielles : CVE-2016-0705, CVE-2016-0797 et CVE-2016-0702.
Ces révisions comportent également des corrections qui concernent principalement des régressions survenues dans des révisions précédentes.
Source : Articles sur le blog de Node.
Voir aussi
pour la plateforme JavaScript
Suite aux problèmes de sécurité rencontrés par l'outil OpenSSL, l'équipe de Node vient d'annoncer la sortie des révisions :
- 0.10.43 ;
- 0.12.12 ;
- 4.3.2 ;
- 5.7.1.
Pour les révisions 4.3.2 et 5.7.1, c'est la version 1.0.2g de OpenSSL qui est maintenant utilisée. Cela corrige le parsing des clefs DSA qui peut être potentiellement utilisé pour faire des attaques DoS ou de corruption de mémoire. Malgré les termes cités, il faut relativiser car les utilisateurs de Node.js n'étaient quasi pas impactés par ce problème. C'est un peu moins le cas pour les attaques du CacheBleed qui concernent la récupération des clefs privées RSA lorsqu'on utilise les thread sur une micro architecture Intel Sandy Bridge.
Pour les révisions 0.10.43 et 0.12.12, c'est la version 1.0.1s de OpenSSL qui est maintenant utilisée. Version qui corrige les mêmes problèmes. L'équipe Node.js a également supprimer le support de SSLv2 qui favorise les attaques DROWN.
Descriptions officielles : CVE-2016-0705, CVE-2016-0797 et CVE-2016-0702.
Ces révisions comportent également des corrections qui concernent principalement des régressions survenues dans des révisions précédentes.
Source : Articles sur le blog de Node.
Voir aussi