À propos d’OpenSSL et de la vulnérabilité « Heartbleed
– Pour ceux d’entre vous qui ne connaissent pas OpenSSL, il s’agit d’une boîte à outils Open Source mettant en œuvre les protocoles Secure Sockets Layer (SSL v2/v3) et Transport Layer Security (TLS v1), ainsi qu’une bibliothèque de cryptographie générale complète. edgeNEXUS utilise OpenSSL dans le cadre de son produit ALB pour assurer la terminaison du client SSL ainsi que la présentation sécurisée de son interface graphique.
– La vulnérabilité existe depuis le 31 décembre 2011, et le code vulnérable a été adopté pour une utilisation généralisée avec la publication de la version 1.0.1 d’OpenSSL le 14 mars 2012. En lisant la mémoire du serveur web, les attaquants peuvent accéder à des données sensibles, compromettant ainsi la sécurité du serveur et de ses utilisateurs. Des données potentiellement sécurisées, y compris la clé principale privée du serveur, pourraient être compromises.
– edgeNEXUS ALB n’a adopté que plus récemment cette version d’OpenSSL dans la version 3.25.2 (build 1431) et la vulnérabilité « heartbleed » est donc présente dans cette version et dans toutes les versions ultérieures d’ALB.
Détails du paquet edgeNEXUS pour résoudre la vulnérabilité « Heartbleed ».
edgeNEXUS vient de publier le Service Pack 5 pour les appliances matérielles et virtuelles ALB – version 3.54.1 (build 1540) – qui résout la vulnérabilité Heartbleed d’OpenSSL en remplaçant toute bibliothèque de cryptographie OpenSSL antérieure par la version 1.0.1g. Le SP5 contient également une série de corrections de bogues et d’améliorations des performances par rapport aux versions précédentes.
Veuillez noter que vous pouvez avoir besoin de mettre à jour en utilisant d’autres versions intermédiaires si vous ne vous êtes pas tenu au courant des versions de l’ALB edgeNEXUS au fil du temps. Le SP5 peut être utilisé pour mettre à jour directement toute version postérieure (et incluse) à la version 3.21.2 (build 1420), mais vous devez contacter l’assistance en envoyant un e-mail à « support@edgenexus.io » pour obtenir des instructions supplémentaires si votre ALB fonctionne sur une version plus ancienne que la version 3.21.2 (build 1420).
Veuillez envoyer un courriel à support@edgenexus.io pour obtenir les détails du téléchargement de la version 3.54.1 (build 1540) de la mise à jour 32 bits du SP5.
