L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Apache HttpComponents HttpClient : validation incorrecte de certificat

Synthèse de la vulnérabilité 

Un attaquant peut créer un certificat X.509 qui sera mal vérifié par Apache HttpComponents HttpClient, afin d'intercepter le trafic destiné à ou émis par le serveur.
Produits vulnérables : Apache HttpClient, Fedora, HPE NNMi, QRadar SIEM, WebSphere AS Traditional, RHEL, JBoss EAP par Red Hat, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio, Ubuntu.
Gravité de cette faille : 1/4.
Date de création : 18/08/2014.
Références de ce bulletin : 2015815, 7036319, c05103564, CST-7122, CST-7123, CST-7124, CST-7125, CST-7126, CST-7127, CST-7128, CST-7129, CST-7130, CST-7131, CVE-2014-3577, FEDORA-2014-9539, FEDORA-2014-9581, FEDORA-2014-9617, FEDORA-2014-9629, HPSBMU03584, RHSA-2014:1082-01, RHSA-2014:1146-01, RHSA-2014:1162-01, RHSA-2014:1163-01, RHSA-2014:1166-01, RHSA-2014:1320-01, RHSA-2014:1321-01, RHSA-2014:1322-01, RHSA-2014:1323-01, RHSA-2014:1833-01, RHSA-2014:1834-01, RHSA-2014:1835-01, RHSA-2014:1836-01, RHSA-2014:1891-01, RHSA-2014:1892-01, RHSA-2014:1904-01, RHSA-2014:2019-01, RHSA-2014:2020-01, RHSA-2015:0125-01, RHSA-2015:0158-01, RHSA-2015:0234-01, RHSA-2015:0235-01, RHSA-2015:0675-01, RHSA-2015:0720-01, RHSA-2015:0765-01, RHSA-2015:0850-01, RHSA-2015:0851-01, RHSA-2015:1009, RHSA-2015:1176-01, RHSA-2015:1177-01, RHSA-2016:1931-01, USN-2769-1, VIGILANCE-VUL-15198.

Description de la vulnérabilité 

La bibliothèque HTTP HttpClient peut gérer des connexions HTTP sur SSL.

Pour authentifier un serveur, le client doit non seulement valider le certificat (signatures cryptographiques, dates de validité, etc.), mais aussi que le certificat présenté corresponde bien au serveur visité. Cette vérification se fait normalement par les noms DNS, parfois par les adresses IP. Cependant, au lieu de chercher le champ ASN.1 précis comprenant le nom du serveur, à savoir l'extension subjectAltName ou par compatibilité le champ CN du nom X.501 du titulaire, la bibliothèque cherche une sous-chaine correspondant au nom DNS dans une représentation textuelle du nom X.501. Un attaquant peut alors utiliser un certificat dont un champ du nom X.501 contient le nom du serveur cible pour intercepter le trafic.

Ceci est une variante plus subtile de VIGILANCE-VUL-12182.

Un attaquant peut donc créer un certificat X.509 qui sera mal vérifié par Apache HttpComponents HttpClient, afin d'intercepter le trafic destiné à ou émis par le serveur.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin de vulnérabilité informatique concerne les logiciels ou systèmes comme Apache HttpClient, Fedora, HPE NNMi, QRadar SIEM, WebSphere AS Traditional, RHEL, JBoss EAP par Red Hat, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte cybersécurité est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de serveur internet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cet avis de faille.

Solutions pour cette menace 

Apache HttpComponents HttpClient : version 4.3.5.
La version 4.3.5 est corrigée.

Fedora : nouveaux paquetages httpcomponents-client.
De nouveaux paquetages sont disponibles :
  Fedora 19 : httpcomponents-client 4.2.5-4.fc19
  Fedora 20 : httpcomponents-client 4.2.5-4.fc20

Fedora : nouveaux paquetages jakarta-commons-httpclient.
De nouveaux paquetages sont disponibles :
  Fedora 19 : jakarta-commons-httpclient 3.1-15.fc19
  Fedora 20 : jakarta-commons-httpclient 3.1-15.fc20

HP NNMi : patch.
Un patch est indiqué dans les sources d'information.

IBM QRadar SIEM : versions corrigées pour Apache HttpComponents HttpClient.
Les versions corrigées sont indiquées dans les sources d'information.

Liferay Portal : version 7.1.3 CE GA 4.
La version 7.1.3 CE GA 4 est corrigée.

Red Hat JBoss A-MQ : version 6.2.0.
La version 6.2.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.amq&downloadType=distributions&version=6.2.0

Red Hat JBoss A-MQ : version 6.2.1 Rollup Patch 4.
La version 6.2.1 Rollup Patch 4 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.amq&downloadType=securityPatches&version=6.2.1

Red Hat JBoss BPM/BRMS : version 6.1.0.
La version 6.1.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=bpm.suite&downloadType=distributions&version=6.1.0
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=brms&downloadType=distributions&version=6.1.0

Red Hat JBoss BPM Suite : version 6.0.3 roll up patch 2.
La version 6.0.3 roll up patch 2 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=bpm.suite&downloadType=distributions&version=6.0.3

Red Hat JBoss BRMS/BPM Suite : version 6.0.3 roll up patch 1.
La version 6.0.3 roll up patch 1 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=bpm.suite&downloadType=distributions&version=6.0.3
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=brms&downloadType=distributions&version=6.0.3

Red Hat JBoss BRMS : version 6.0.3 roll up patch 2.
La version 6.0.3 roll up patch 2 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=brms&downloadType=distributions&version=6.0.3

Red Hat JBoss Data Virtualization : version 6.0.0 2015 roll up patch 1.
La version 6.0.0 2015 roll up patch 1 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=data.services.platform&downloadType=securityPatches&version=6.0.0

Red Hat JBoss Data Virtualization : version 6.1.0.
La version 6.1.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=data.services.platform&downloadType=distributions&version=6.1.0

Red Hat JBoss EAP : nouveaux paquetages apache.
De nouveaux paquetages sont disponibles :
  RHEL 5 : apache-cxf 2.7.12-1.SP1_redhat_5.1.ep6.el5, wss4j 1.6.16-2.redhat_3.1.ep6.el5
  RHEL 6 : apache-cxf 2.7.12-1.SP1_redhat_5.1.ep6.el6, wss4j 1.6.16-2.redhat_3.1.ep6.el6
  RHEL 7 : apache-cxf 2.7.12-1.SP1_redhat_5.1.ep6.el7, wss4j 1.6.16-2.redhat_3.1.ep6.el7

Red Hat JBoss EAP : patch pour Apache.
Un patch est disponible :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=appplatform&downloadType=securityPatches&version=6.3

Red Hat JBoss Enterprise Web Platform : solution pour HttpComponents.
La solution est indiquée dans les sources d'information.

Red Hat JBoss Fuse Service Works : version 6.0.0 roll up patch 4.
La version 6.0.0 roll up patch 4 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.fuse.serviceworks&downloadType=securityPatches&version=6.0.0

Red Hat JBoss Fuse : version 6.2.0.
La version 6.2.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.fuse&downloadType=distributions&version=6.2.0

Red Hat JBoss Fuse : version 6.2.1 Rollup Patch 4.
La version 6.2.1 Rollup Patch 4 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.fuse&downloadType=securityPatches&version=6.2.1

Red Hat JBoss : nouveaux paquetages httpcomponents-eap6-6-12.redhat.
De nouveaux paquetages sont disponibles :
  RHEL 5 : httpcomponents-eap6-6-12.redhat 2.1.ep6.el5
  RHEL 6 : httpcomponents-eap6-6-12.redhat 2.1.ep6.el6
  RHEL 7 : httpcomponents-eap6-6-12.redhat 2.1.ep6.el7

Red Hat JBoss Operations Network : version 3.2.3.
La version 3.2.3 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=em&downloadType=securityPatches&version=3.3.0

Red Hat JBoss : patch pour HttpComponents.
Un patch est disponible :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=appplatform&downloadType=securityPatches&version=6.3

Red Hat JBoss Portal : version 6.2.0.
La version 6.2.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jbportal&downloadType=distributions

Red Hat JBoss : solution pour Apache CXF.
La solution est indiquée dans les sources d'information.

Red Hat JBoss Web Framework Kit : version 2.7.0.
La version 2.7.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=web.framework.kit&downloadType=distributions

Red Hat Software Collections : nouveaux paquetages thermostat1-httpcomponents-client.
De nouveaux paquetages sont disponibles :
  RHEL 6 : thermostat1-httpcomponents-client 4.2.5-3.4.el6.1

RHEL 6 RHEV-M : nouveaux paquetages rhevm.
De nouveaux paquetages sont disponibles :
  RHEL 6 : rhevm 3.5.0-0.29.el6ev

RHEL 7.0 : nouveaux paquetages httpcomponents-client.
De nouveaux paquetages sont disponibles :
  RHEL 7 : httpcomponents-client 4.2.5-5.el7_0

RHEL : nouveaux paquetages jakarta-commons-httpclient.
De nouveaux paquetages sont disponibles :
  RHEL 5 : jakarta-commons-httpclient 3.0-7jpp.4.el5_10
  RHEL 6 : jakarta-commons-httpclient 3.1-0.9.el6_5
  RHEL 7 : jakarta-commons-httpclient 3.1-16.el7_0

SAS : Security Update 2020-08.
Un patch est disponible :
  https://tshf.sas.com/techsup/download/hotfix/HF2/SAS_Security_Updates.html

Ubuntu : nouveaux paquetages libcommons-httpclient-java.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.04 : libcommons-httpclient-java 3.1-10.2ubuntu0.15.04.1
  Ubuntu 14.04 LTS : libcommons-httpclient-java 3.1-10.2ubuntu0.14.04.1
  Ubuntu 12.04 LTS : libcommons-httpclient-java 3.1-10ubuntu0.1

WebSphere AS : version 8.5.5.9.
La version 8.5.5.9 est corrigée :
  http://www.ibm.com/support/docview.wss?uid=swg24041819
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des bulletins de vulnérabilités logicielles. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.