L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Apache HttpClient 3 : validation incomplète de certificat

Synthèse de la vulnérabilité 

Un attaquant peut placer un certificat valide sur un serveur illicite, puis inviter un client Apache HttpClient 3 à s'y connecter, afin d'intercepter des communications malgré l'utilisation du chiffrement.
Systèmes vulnérables : Apache HttpClient, Fedora, Notes par IBM, Tivoli System Automation, WebSphere AS Traditional, IBM WebSphere ESB, openSUSE, RHEL, JBoss EAP par Red Hat, Ubuntu.
Gravité de cette menace : 2/4.
Date de création : 23/11/2012.
Références de cette faille : 2016216, BID-58073, CVE-2012-5783, FEDORA-2013-1189, FEDORA-2013-1203, FEDORA-2013-1289, HTTPCLIENT-1265, ibm10719287, ibm10719297, ibm10719301, ibm10719303, ibm10719307, KB0086419, openSUSE-SU-2013:0354-1, openSUSE-SU-2013:0622-1, openSUSE-SU-2013:0623-1, openSUSE-SU-2013:0638-1, RHSA-2013:0270-01, RHSA-2013:0679-01, RHSA-2013:0680-01, RHSA-2013:0681-01, RHSA-2013:0682-01, RHSA-2013:0763-01, RHSA-2013:1006-01, RHSA-2013:1147-01, RHSA-2013:1853-01, RHSA-2014:0224-01, RHSA-2017:0868-01, swg22017526, USN-2769-1, VIGILANCE-VUL-12182.

Description de la vulnérabilité 

La bibliothèque HTTP HttpClient peut gérer des connexions HTTP sur SSL.

Pour authentifier un serveur, le client doit non seulement valider le certificat (signatures cryptographiques, dates de validité, etc.), mais aussi que le certificat présenté corresponde bien au serveur visité. Cette vérification se fait normalement par les noms DNS, parfois par les adresses IP. Cependant, HttpClient ne vérifie pas la compatibilité entre les noms présents dans le certificat et celui demandé au niveau HTTP, ce qui fait que tout certificat valide est accepté.

Un attaquant peut donc placer un certificat valide sur un serveur illicite, puis inviter un client Apache HttpClient 3 à s'y connecter, afin d'intercepter des communications malgré l'utilisation du chiffrement.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte de faille concerne les logiciels ou systèmes comme Apache HttpClient, Fedora, Notes par IBM, Tivoli System Automation, WebSphere AS Traditional, IBM WebSphere ESB, openSUSE, RHEL, JBoss EAP par Red Hat, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin de menace est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de serveur internet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter ce bulletin cybersécurité.

Solutions pour cette menace 

Apache HttpClient 3 : patch pour la validation de certificat SSL.
Un patch est disponible dans les sources d'information.

Fedora : nouveaux paquetages jakarta-commons-httpclient.
De nouveaux paquetages sont disponibles :
  jakarta-commons-httpclient-3.1-12.fc16
  jakarta-commons-httpclient-3.1-12.fc17
  jakarta-commons-httpclient-3.1-12.fc18

HCL Notes : versions corrigées pour Multiple Components.
Les versions corrigées sont indiquées dans les sources d'information.

IBM Tivoli System Automation Application Manager : solution pour WebSphere AS.
La solution est indiquée dans les sources d'information.

IBM WebSphere AS : patch pour Apache Commons HttpClient.
Un patch est indiqué dans les sources d'information.

JBoss : solution pour jakarta-commons-httpclient.
Unee solution est disponible dans les sources d'information.

JBoss Web Framework Kit : version 2.2.0.
La version 2.2.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=web.framework.kit&downloadType=distributions

openSUSE : nouveaux paquetages jakarta-commons-httpclient.
De nouveaux paquetages sont disponibles :
  openSUSE 11.4 : jakarta-commons-httpclient3-3.0.1-313.1
  openSUSE 12.1 : jakarta-commons-httpclient3-3.0.1-313.10.1
  openSUSE 12.2 : jakarta-commons-httpclient-3.1-2.10.1
  openSUSE 12.3 : jakarta-commons-httpclient-3.1-4.5.1

openSUSE : nouveaux paquetages jakarta-commons-httpclient3.
De nouveaux paquetages sont disponibles :
  openSUSE 12.1 : jakarta-commons-httpclient3-3.0.1-313.6.1
  openSUSE 12.2 : jakarta-commons-httpclient-3.1-2.6.1

Red Hat Enterprise Virtualization : nouveaux paquetages redhat-support-plugin-rhev.
De nouveaux paquetages sont disponibles :
  RHEL 6 : redhat-support-plugin-rhev 3.3.0-14.el6ev

Red Hat JBoss BRMS : version 5.3.1 roll up patch 2.
La version JBoss BRMS 5.3.1 roll up patch 2 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=brms&downloadType=securityPatches&version=5.3.1

Red Hat JBoss Fuse/A-MQ : version 6.3 R2.
La version 6.3 R2 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.fuse&downloadType=securityPatches&version=6.3.0
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.amq&downloadType=securityPatches&version=6.3.0

Red Hat JBoss Operations Network : version 3.2.0.
La version 3.2.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?downloadType=distributions&product=em&version=3.2.0

Red Hat JBoss SOA Platform : version 5.3.1 roll up patch 3.
La version 5.3.1 roll up patch 3 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=soaplatform&downloadType=securityPatches&version=5.3.1+GA

RHEL : nouveaux paquetages jakarta-commons-httpclient.
De nouveaux paquetages sont disponibles :
  jakarta-commons-httpclient-3.0-7jpp.2
  jakarta-commons-httpclient-3.1-0.7.el6_3

Rundeck : version 3.3.12.
La version 3.3.12 est corrigée :
  https://docs.rundeck.com/downloads.html

Ubuntu : nouveaux paquetages libcommons-httpclient-java.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.04 : libcommons-httpclient-java 3.1-10.2ubuntu0.15.04.1
  Ubuntu 14.04 LTS : libcommons-httpclient-java 3.1-10.2ubuntu0.14.04.1
  Ubuntu 12.04 LTS : libcommons-httpclient-java 3.1-10ubuntu0.1

WebSphere Enterprise Service : solution pour Apache HttpClient.
La solution est indiquée dans les sources d'information.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des alertes cybersécurité. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.