Le 8 avril 2014, une important faille de sécurité dénommée Heartbleed (CVE-2014-0160) était dévoilée. Elle concernait la sécurité SSL/TLS et impactait un très grand nombre de serveurs Web sur Internet. Parmi les énoncés suivants, lequel décrit correctement cette vulnérabilité ?

[A] Elle était liée à une erreur dans un test conditionnel dans la librairie GnuTLS

[B] C’était un problème de « Padding Oracle » dans SSL v3

[C] Elle concernait un problème de mauvaise négociation des groupes DH dans SSL v2 et v3

[D] C’était un problème de débordement de mémoire tampon dans la librairie OpenSSL


reponse linkedin

CBK6 Q04 LINK


Heartbleed est une faille de sécurité identifiée par Google en mars 2014 et révélée de façon quelque peu « opportuniste » par la société Codenomicon le 8 avril 2014.

C’est une vulnérabilité logicielle de type débordement de mémoire tampon (buffer overflow).

Elle concerne une mauvaise implémentation d’une fonctionnalité appelée Heartbeat dans la librairie cryptographique OpenSSL.

Elle a été corrigée dès le 8 avril 2014 par la publication de la version 1.0.1g d’OpenSSL.

La bonne réponse est donc la proposition [D]

tip

Pour en savoir plus sur les vulnérabilités logicielles nous vous recommandons de suivre le module n°15 de la formation CISSP de VERISAFE.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE