OpenBSD 5.5 est là… avec la faille Heartbleed d'OpenSSL

OpenBSD vient de publier une nouvelle version de son système d'exploitation. Estampillée 5.5, elle apporte plusieurs nouveautés dont la signature des paquets. Divers composants sont également mis à jour, dont OpenSSL qui passe en version 1.0.1f… mais qui est donc touché par la faille Heartbleed. Le fork LibreSSL, initié par OpenBSD, est encore en gestation et ne sera intégré à OpenBSD qu'à partir de la prochaine mise à jour.

OpenBSD vient de publier une nouvelle version de son système d'exploitation. Estampillée 5.5, elle apporte plusieurs nouveautés dont la signature des paquets. Divers composants sont également mis à jour, dont OpenSSL qui passe en version 1.0.1f… mais qui est donc touché par la faille Heartbleed. Le fork LibreSSL, initié par OpenBSD, est encore en gestation et ne sera intégré à OpenBSD qu'à partir de la prochaine mise à jour. OpenBSD 5.5 en hommage à Retour vers le futurOpenBSD est un système d'exploitation UNIX de type BSD, pour Berkeley Software Distribution, qui se veut simple et sécurisé par défaut. Au début de l'année, il a dû faire face à un problème financier important, mais un appel aux dons à permis de le tirer d'affaire. Une campagne de financement avait alors été lancée avec succès puisque sur les 150 000 dollars demandés, 153 000 ont été récoltés via 1 850 donateurs. Quoi qu'il en soit, le système poursuit son chemin et vient de publier une nouvelle mouture estampillée 5.5. Comme souvent, les changements très sont nombreux. On peut par exemple citer le fait que les paquets soient désormais signés via Signify, tandis que le processus popa3d a été supprimé. Il s'agit d'une première étape puisque sendmail subira le même sort au profit d'OpenSMTPD, et ce, dès la mouture 5.6 d'OpenBSD. L'équipe annonce aussi le passage de la variable time_t sur 64 bits, ce qui permet d'éviter le bug de l'an 2038, qui se produira le 19 janvier à 3h 14 min et 17 secondes en temps universel, avec un reboot en 1970. Mais c'est un autre point attire notre attention : OpenBSD 5.5 intègre OpenSSL 1.0.1f, une version touchée par la faille Heartbleed. Pour rappel, une version 1.0.1g a été mise en ligne début avril afin de corriger cet important problème de sécurité. Une situation quelque peu ubuesque pour un système mettant en avant la sécurité, en en faisant même son slogan. En effet, jusqu'en 2002, le site indiquait « cinq ans sans vulnérabilité à distance dans l'installation par défaut », tandis qu'il précise désormais qu'il y en a eu seulement deux au cours des 12 dernières années. Sachez qu'une certaine polémique existe sur le sujet puisqu'il ne s'agit ici que des composants installés et lancés par défaut – et ils ne sont pas très nombreux, ce qui permet de limiter la casse. La situation est d'autant plus étrange que suite à la découverte de la faille Heartbleed, OpenBSD s'est lancé dans un fork d'OpenSSL, repris ensuite par l'OpenBSD Foundation : LibreSSL. Néanmoins, il est précisé que ce dérivé ne sera intégré que dans la prochaine mouture 5.6 qui devrait sortir le 1er mai si le calendrier habituel est préservé. Theo de Raadt, le fondateur d'OpenBSD, précisait à nos confrères de ZDNet.com que 90 000 lignes de code C et 150 000 lignes de contenus avaient rapidement été supprimées, le but étant d'alléger le code afin d'enlever toute une partie ne disposant que d'un intérêt limité. Selon Theo de Raadt, c'est par exemple le cas de prise en charge de VMS et de Windows par exemple.Bien évidemment, un patch est disponible afin de combler cette faille, mais il faudra l'installer séparément. On aurait largement préféré que ce soit le cas par défaut, surtout pour un OS mettant autant en avant la sécurité. Selon Loïc Blot, un ingénieur système UNIX qui s'exprime chez nos confrères de Linux.fr, l'explication serait que « d'après les différentes discussions que j'ai pu voir sur @tech, le processus de release d'OpenBSD étant strict et lancé, il était impossible de fournir un release patché ». Il faut rappeler qu'OpenBSD est disponible sous forme de CD et que ces derniers doivent être préparés bien en amont. Apparemment il s'agirait du 5 mars, soit un mois avant la découverte d'Heartbleed. Est-ce pour autant un problème ? Pas tant que cela, à condition de bien prendre ses précautions. En effet, OpenBSD n'est pas un système d'exploitation pensé pour les débutants et il s'adresse bien plus aux connaisseurs qui ne devraient donc avoir aucun mal à patcher l'OS… la principale préoccupation étant donc de ne pas oublier de le faire lors d'une installation ou d'une mise à jour. Notez que quatre autres patchs sont aussi disponibles.  Les errata d'OpenBSD 5.5  Pour télécharger OpenBSD c'est par ici que ça se passe, tandis qu'un guide pour effectuer une mise à jour depuis la version 5.4 est disponible par ici.