Une faille importante de sécurité vient d’être découverte dans certaines versions du module OpenSSL. Seuls les serveurs en version 5.0 et supérieure sont potentiellement vulnérables.

Ce module a été corrigé rapidement et est disponible dans les dépôts de mise à jour de sécurité utilisés par le serveur Kwartz, il est donc vivement conseillé de vérifier dans le menu Maintenance/Mise à jour à distance que votre serveur est bien à jour.

Afin de faciliter les opérations de mise à jour et de garantir la sécurité de votre serveur, ces modules sont maintenant mis à jour de façon automatique.

Par ailleurs, cette dernière faille appelée Heartbleed, peut compromettre la clé privée utilisée par les différents modules SSL du serveur. Le module kwartz-ssl a donc été mis à jour et re-génère automatiquement une clé privée si le serveur est potentiellement dans ce cas. Puisqu’il n’y a aucun moyen de savoir si cette clé a été compromise, cette mise à jour est faite systématiquement de façon préventive.

En conséquence les utilisateurs des services utilisant SSL (kwartz-control, réception et envoi de courrier sécurisés, intranet et extranet sécurisés) recevront une alerte de certificat si le serveur kwartz utilise le certificat autosigné.

Rappelons enfin que pour la sécurité de votre serveur il est important de vérifier que celui-ci est correctement mis à jour et couvert par un contrat de maintenance.