L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

avis cybersécurité CVE-2014-6593 CVE-2015-0205

JSSE, CyaSSL, Mono, OpenSSL : session en clair via SKIP-TLS

Synthèse de la vulnérabilité

Un attaquant, disposant d'un serveur TLS, peut forcer le client/serveur JSSE, CyaSSL, Mono ou OpenSSL à utiliser une session en clair, afin qu'une tierce partie puisse intercepter ou modifier les données échangées.
Gravité de cette vulnérabilité informatique : 2/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 04/03/2015.
Date révision : 09/03/2015.
Références de cette annonce : 1699051, 1700706, 1701485, 9010028, ARUBA-PSA-2015-003, bulletinjan2015, c04517481, c04556853, c04580241, c04583581, CERTFR-2015-AVI-108, CERTFR-2015-AVI-146, CERTFR-2016-AVI-303, cisco-sa-20150310-ssl, cpujan2015, cpuoct2017, CTX216642, CVE-2014-6593, CVE-2015-0205, DSA-3125-1, DSA-3144-1, DSA-3147-1, FEDORA-2015-0512, FEDORA-2015-0601, FEDORA-2015-0983, FEDORA-2015-1075, FEDORA-2015-1150, FEDORA-2015-8251, FEDORA-2015-8264, FreeBSD-SA-15:01.openssl, HPSBUX03219, HPSBUX03244, HPSBUX03273, HPSBUX03281, JSA10679, MDVSA-2015:019, MDVSA-2015:033, MDVSA-2015:062, NetBSD-SA2015-006, NTAP-20150205-0001, openSUSE-SU-2015:0130-1, openSUSE-SU-2015:0190-1, openSUSE-SU-2015:1277-1, RHSA-2015:0066-01, RHSA-2015:0067-01, RHSA-2015:0068-01, RHSA-2015:0069-01, RHSA-2015:0079-01, RHSA-2015:0080-01, RHSA-2015:0085-01, RHSA-2015:0086-01, RHSA-2015:0133-01, RHSA-2015:0134-01, RHSA-2015:0135-01, RHSA-2015:0136-01, RHSA-2015:0263-01, RHSA-2015:0264-01, SA40015, SA88, SB10104, SB10108, SKIP-TLS, SOL16120, SOL16123, SOL16124, SOL16126, SOL16135, SOL16136, SOL16139, SPL-95203, SSA:2015-009-01, SSRT101859, SSRT101885, SSRT101951, SSRT101968, SUSE-SU-2015:0336-1, SUSE-SU-2015:0503-1, USN-2459-1, USN-2486-1, USN-2487-1, VIGILANCE-VUL-16300, VMSA-2015-0003, VMSA-2015-0003.1, VMSA-2015-0003.10, VMSA-2015-0003.11, VMSA-2015-0003.12, VMSA-2015-0003.13, VMSA-2015-0003.14, VMSA-2015-0003.15, VMSA-2015-0003.2, VMSA-2015-0003.3, VMSA-2015-0003.4, VMSA-2015-0003.5, VMSA-2015-0003.6, VMSA-2015-0003.8, VMSA-2015-0003.9.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le protocole TLS utilise une succession de messages, que le client et le serveur doivent échanger, avant d'établir une session sécurisée.

Cependant, les clients comme JSSE et CyaSSL acceptent que le serveur saute directement à l'état final (CVE-2014-6593, initialement traité dans VIGILANCE-VUL-16014). De même, les serveurs comme Mono ou OpenSSL acceptent que le client saute directement à l'état final (CVE-2015-0205, initialement traité dans VIGILANCE-VUL-15934). La session établie n'utilise alors aucun chiffrement.

Un attaquant, disposant d'un serveur TLS, peut donc forcer le client/serveur JSSE, CyaSSL, Mono ou OpenSSL à utiliser une session en clair, afin qu'une tierce partie puisse intercepter ou modifier les données échangées.
Bulletin Vigil@nce complet... (Essai gratuit)

Cet avis sécurité concerne les logiciels ou systèmes comme ArubaOS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, FabricOS, Brocade Network Advisor, Cisco ATA, AnyConnect VPN Client, Cisco ACE, ASA, AsyncOS, Cisco ESA, IOS par Cisco, IronPort Email, IronPort Web, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Prime LMS, Prime Network Control Systems, Cisco PRSM, Cisco Router, Cisco IP Phone, Cisco MeetingPlace, Cisco WSA, Clearswift Email Gateway, Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP-UX, AIX, IRAD, Tivoli Workload Scheduler, WebSphere MQ, Juniper J-Series, Junos OS, Junos Space, Junos Space Network Management Platform, NSM Central Manager, NSMXpress, Juniper SBR, McAfee Email Gateway, ePO, McAfee Web Gateway, Windows (plateforme) ~ non exhaustif, Data ONTAP 7-Mode, NetBSD, NetScreen Firewall, ScreenOS, Nodejs Core, Java OpenJDK, OpenSSL, openSUSE, Oracle Communications, Java Oracle, JavaFX, Solaris, pfSense, Puppet, RHEL, Slackware, Splunk Enterprise, stunnel, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif, vCenter Server, VMware vSphere.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de serveur internet.

Ce bulletin concerne 2 vulnérabilités.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cette vulnérabilité.

Solutions pour cette menace

CyaSSL : version 3.3.0.
La version 3.3.0 est corrigée :
  http://yassl.com/yaSSL/download/downloadForm.php

Mono : version 3.12.1.
La version 3.12.1 est corrigée :
  http://www.mono-project.com/download/

OpenSSL : version 1.0.1k.
La version 1.0.1k est corrigée :
  https://www.openssl.org/source/

OpenSSL : version 1.0.0p.
La version 1.0.0p est corrigée :
  https://www.openssl.org/source/

OpenSSL : version 0.9.8zd.
La version 0.9.8zd est corrigée :
  https://www.openssl.org/source/

Oracle Java : version 8u31.
La version 8u31 est corrigée :
  http://www.oracle.com/technetwork/java/javase/downloads/index.html

Oracle Java : version 7u75.
La version 7u75 est corrigée :
  http://www.oracle.com/technetwork/java/javase/downloads/index.html

Oracle Java : version 6u91.
La version 6u91 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/overview-156328.html

Oracle Java : version 5.0u81.
La version 5.0u81 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/overview-137139.html

AIX : patch pour OpenSSL.
Un patch est disponible :
  ftp://aix.software.ibm.com/aix/efixes/security/openssl_fix12.tar

AIX : solution pour Java.
La solution est indiquée dans les sources d'information.

ArubaOS : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Blue Coat : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Brocade : solution pour OpenSSL (30/03/2015).
La solution est indiquée dans les sources d'information.

Cisco : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Citrix NetScaler Platform IPMI LOM : solution.
La solution est indiquée dans les sources d'information.

Citrix NetScaler : versions corrigées pour LOM Firmware.
Les versions corrigées sont indiquées dans les sources d'information.

Clearswift SECURE Email Gateway : version 3.8.5.
La version 3.8.5 est corrigée :
  http://app-patches.clearswift.net/Patches/Patch3_8_5.htm

Debian : nouveaux paquetages openjdk-6.
De nouveaux paquetages sont disponibles :
  Debian 7 : openjdk-6 6b34-1.13.6-1~deb7u1

Debian : nouveaux paquetages openjdk-7.
De nouveaux paquetages sont disponibles :
  Debian 7 : openjdk-7 7u75-2.5.4-1~deb7u1

Debian : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 7 : openssl 1.0.1e-2+deb7u14

F5 BIG-IP : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

Fedora 20 : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  Fedora 20 : java-1.7.0-openjdk 1.7.0.75-2.5.4.2.fc20

Fedora : nouveaux paquetages java-1.8.0-openjdk.
De nouveaux paquetages sont disponibles :
  Fedora 20 : java-1.8.0-openjdk 1.8.0.45-38.b14.fc20
  Fedora 21 : java-1.8.0-openjdk 1.8.0.45-38.b14.fc21

Fedora : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Fedora 20 : openssl 1.0.1e-41.fc20
  Fedora 21 : openssl 1.0.1k-1.fc21

FreeBSD : patch pour OpenSSL.
Un patch est disponible :
  https://security.FreeBSD.org/patches/SA-15:01/openssl-9.3.patch
  https://security.FreeBSD.org/patches/SA-15:01/openssl-10.0.patch
  https://security.FreeBSD.org/patches/SA-15:01/openssl-10.1.patch

HP-UX : Java versions 6.0.25, 7.0.11 et 8.0.01.
Les versions Java versions 6.0.25, 7.0.11 et 8.0.01 sont corrigées :
   http://www.hp.com/java

HP-UX : OpenSSL version A.00.09.08zf.
La version OpenSSL A.00.09.08zf est corrigée :
  https://h20392.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=OPENSSL11I

IBM Rational Application Developer : solution pour IBM Java SDK.
La solution est indiquée dans les sources d'information.

Juniper : versions corrigées pour OpenSSL-08/01/2015.
Les versions corrigées sont indiquées dans les sources d'information.

Mandriva BS2 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Mandriva BS2 : openssl 1.0.1m-1.mbs2

Mandriva : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : java-1.7.0-openjdk 1.7.0.65-2.5.4.1.mbs1

Mandriva : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : openssl 1.0.0p-1.mbs1

McAfee ePO : solution pour Oracle JRE.
La solution est indiquée dans les sources d'information.

McAfee : solution pour OpenSSL FREAK.
La solution est indiquée dans les sources d'information.

NetApp : solution pour OpenSSL 01/2015.
La solution est indiquée dans les sources d'information.

NetBSD : patch pour OpenSSL (20/03/2015).
Un patch est disponible dans les sources d'information.

Node.js : version 0.10.36.
La version 0.10.36 est corrigée :
  http://nodejs.org/download/

openSUSE 13.2 : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : java-1_7_0-openjdk 1.7.0.75-4.1

openSUSE 13.2 : nouveaux paquetages libressl.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : libressl 2.2.1-2.3.1

openSUSE : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : openssl 1.0.1k-11.64.2
  openSUSE 13.2 : openssl 1.0.1k-2.16.2

Oracle Communications : CPU de octobre 2017.
Un Critical Patch Update est disponible.

pfSense : version 2.2.
La version 2.2 est corrigée :
  https://www.pfsense.org/

Puppet Enterprise : version 3.7.2.
La version 3.7.2 est corrigée :
  http://puppetlabs.com/

Red Hat Satellite 5 : nouveaux paquetages java-1.6.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-ibm 1.6.0.16.3-1jpp.1.el5
  RHEL 6 : java-1.6.0-ibm 1.6.0.16.3-1jpp.1.el6

RHEL 5, 6 : nouveaux paquetages java-1.5.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.5.0-ibm 1.5.0.16.9-1jpp.1.el5
  RHEL 6 : java-1.5.0-ibm 1.5.0.16.9-1jpp.1.el6_6

RHEL 5, 6 : nouveaux paquetages java-1.6.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-ibm 1.6.0.16.3-1jpp.1.el5

RHEL 5 : nouveaux paquetages java-1.7.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.7.0-ibm 1.7.0.8.10-1jpp.4.el5

RHEL 6, 7 : nouveaux paquetages java-1.7.1-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.7.1-ibm 1.7.1.2.10-1jpp.3.el6_6
  RHEL 7 : java-1.7.1-ibm 1.7.1.2.10-1jpp.3.el7_0

RHEL 6, 7 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl 1.0.1e-30.el6_6.5
  RHEL 7 : openssl 1.0.1e-34.el7_0.7

RHEL 6 : nouveaux paquetages java-1.8.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.8.0-openjdk 1.8.0.31-1.b13.el6_6

RHEL 6 : nouveaux paquetages java-1.8.0-oracle.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.8.0-oracle 1.8.0.31-1jpp.1.el6

RHEL : nouveaux paquetages java-1.6.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-openjdk 1.6.0.34-1.13.6.1.el5_11
  RHEL 6 : java-1.6.0-openjdk 1.6.0.34-1.13.6.1.el6_6
  RHEL 7 : java-1.6.0-openjdk 1.6.0.34-1.13.6.1.el7_0

RHEL : nouveaux paquetages java-1.6.0-sun.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-sun 1.6.0.91-1jpp.1.el5_11
  RHEL 6 : java-1.6.0-sun 1.6.0.91-1jpp.1.el6
  RHEL 7 : java-1.6.0-sun 1.6.0.91-1jpp.1.el7

RHEL : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.7.0-openjdk 1.7.0.75-2.5.4.0.el5_11
  RHEL 6 : java-1.7.0-openjdk 1.7.0.75-2.5.4.0.el6_6
  RHEL 7 : java-1.7.0-openjdk 1.7.0.75-2.5.4.2.el7_0

RHEL : nouveaux paquetages java-1.7.0-oracle.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.7.0-oracle 1.7.0.75-1jpp.1.el5_11
  RHEL 6 : java-1.7.0-oracle 1.7.0.75-1jpp.1.el6
  RHEL 7 : java-1.7.0-oracle 1.7.0.75-1jpp.2.el7

Slackware : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Slackware 13.0 : openssl 0.9.8zd-*-1_slack13.0
  Slackware 13.1 : openssl 0.9.8zd-*-1_slack13.1
  Slackware 13.37 : openssl 0.9.8zd-*-1_slack13.37
  Slackware 14.0 : openssl 1.0.1k-*-1_slack14.0
  Slackware 14.1 : openssl 1.0.1k-*-1_slack14.1

Snare Enterprise Agent for Windows : version 4.2.9.
La version 4.2.9 est corrigée :
  https://snaresupport.intersectalliance.com/

Solaris : patch pour Third Party.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Splunk Enterprise : version 6.2.2.
La version 6.2.2 est corrigée :
  http://www.splunk.com/

stunnel : version 5.10.
La version 5.10 est corrigée :
  https://www.stunnel.org/downloads.html

SUSE LE : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : java-1_7_0-openjdk 1.7.0.75-0.7.1
  SUSE LE 12 : java-1_7_0-openjdk 1.7.0.75-11.3

Tivoli Workload Scheduler : solution pour OpenSSL et Java.
La solution est indiquée dans les sources d'information.

Ubuntu : nouveaux paquetages libssl.
De nouveaux paquetages sont disponibles :
  Ubuntu 14.10 : libssl1.0.0 1.0.1f-1ubuntu9.1
  Ubuntu 14.04 LTS : libssl1.0.0 1.0.1f-1ubuntu2.8
  Ubuntu 12.04 LTS : libssl1.0.0 1.0.1-4ubuntu5.21
  Ubuntu 10.04 LTS : libssl0.9.8 0.9.8k-7ubuntu8.23

Ubuntu : nouveaux paquetages openjdk-6-jre.
De nouveaux paquetages sont disponibles :
  Ubuntu 12.04 LTS : openjdk-6-jre 6b34-1.13.6-1ubuntu0.12.04.1
  Ubuntu 10.04 LTS : openjdk-6-jre 6b34-1.13.6-1ubuntu0.10.04.1

Ubuntu : nouveaux paquetages openjdk-7-jre.
De nouveaux paquetages sont disponibles :
  Ubuntu 14.10 : openjdk-7-jre 7u75-2.5.4-1~utopic1
  Ubuntu 14.04 LTS : openjdk-7-jre 7u75-2.5.4-1~trusty1

VMware : solution pour Java.
La solution est indiquée dans les sources d'information.

WebSphere MQ : solution.
La solution est indiquée dans les sources d'information.
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit un bulletin de vulnérabilité de système. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.