L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Mozilla NSS, OpenSSL, Oracle Java : acceptation de MD5 dans TLS 1.2

Synthèse de la vulnérabilité 

Un attaquant peut créer une collision MD5 dans une session TLS 1.2 de Mozilla NSS, OpenSSL ou Oracle Java, afin d'intercepter les données de la session.
Logiciels impactés : Blue Coat CAS, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, Fedora, AIX, DB2 UDB, Domino par IBM, Notes par IBM, QRadar SIEM, SPSS Modeler, Tivoli Storage Manager, WebSphere AS Traditional, WebSphere MQ, JAXP, Firefox, NSS, Thunderbird, SnapManager, Java OpenJDK, OpenSSL, openSUSE, openSUSE Leap, Oracle Communications, Java Oracle, RHEL, SUSE Linux Enterprise Desktop, SLES, Synology DS***, Synology RS***, Ubuntu.
Gravité de cette vulnérabilité informatique : 1/4.
Date de création : 28/12/2015.
Date de révision : 08/01/2016.
Références de cette annonce : 000008896, 1974958, 1975290, 1975424, 1976113, 1976148, 1976200, 1976262, 1976362, 1976363, 1977405, 1977517, 1977518, 1977523, 9010065, cpujan2016, cpuoct2017, CVE-2015-7575, DSA-3436-1, DSA-3457-1, DSA-3465-1, DSA-3491-1, DSA-3688-1, FEDORA-2016-4aeba0f53d, MFSA-2015-150, NTAP-20160225-0001, NTAP20160225-001, openSUSE-SU-2015:2405-1, openSUSE-SU-2016:0007-1, openSUSE-SU-2016:0161-1, openSUSE-SU-2016:0162-1, openSUSE-SU-2016:0263-1, openSUSE-SU-2016:0268-1, openSUSE-SU-2016:0270-1, openSUSE-SU-2016:0272-1, openSUSE-SU-2016:0279-1, openSUSE-SU-2016:0307-1, openSUSE-SU-2016:0308-1, openSUSE-SU-2016:0488-1, RHSA-2016:0007-01, RHSA-2016:0008-01, RHSA-2016:0049-01, RHSA-2016:0050-01, RHSA-2016:0053-01, RHSA-2016:0054-01, RHSA-2016:0055-01, RHSA-2016:0056-01, RHSA-2016:0098-01, RHSA-2016:0099-01, RHSA-2016:0100-01, RHSA-2016:0101-01, SA108, SLOTH, SUSE-SU-2016:0256-1, SUSE-SU-2016:0265-1, SUSE-SU-2016:0269-1, SUSE-SU-2016:0390-1, SUSE-SU-2016:0399-1, SUSE-SU-2016:0401-1, SUSE-SU-2016:0428-1, SUSE-SU-2016:0431-1, SUSE-SU-2016:0433-1, SUSE-SU-2016:0770-1, SUSE-SU-2016:0776-1, USN-2863-1, USN-2864-1, USN-2866-1, USN-2884-1, USN-2904-1, VIGILANCE-VUL-18586.

Description de la vulnérabilité 

Les bibliothèques Mozilla NSS, OpenSSL et Oracle Java implémentent TLS version 1.2.

L'algorithme de hachage MD5 est considéré comme faible. Cependant, il est accepté dans les signatures des messages TLS 1.2 ServerKeyExchange.

Un attaquant peut donc créer une collision MD5 dans une session TLS 1.2 de Mozilla NSS, OpenSSL ou Oracle Java, afin d'intercepter les données de la session.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette faille cybersécurité concerne les logiciels ou systèmes comme Blue Coat CAS, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, Fedora, AIX, DB2 UDB, Domino par IBM, Notes par IBM, QRadar SIEM, SPSS Modeler, Tivoli Storage Manager, WebSphere AS Traditional, WebSphere MQ, JAXP, Firefox, NSS, Thunderbird, SnapManager, Java OpenJDK, OpenSSL, openSUSE, openSUSE Leap, Oracle Communications, Java Oracle, RHEL, SUSE Linux Enterprise Desktop, SLES, Synology DS***, Synology RS***, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce sécurité est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce cyber-sécurité.

Solutions pour cette menace 

Mozilla NSS : version 3.20.2.
La version 3.20.2 est corrigée :
  http://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/

OpenSSL : version 1.0.1f.
La version 1.0.1f est corrigée :
  http://www.openssl.org/source/

Firefox : version 43.0.2.
La version 43.0.2 est corrigée :
  http://www.mozilla.org/en-US/firefox/organizations/all/
  http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/

Firefox : version 38.5.2.
La version 38.5.2 est corrigée :
  http://www.mozilla.org/en-US/firefox/organizations/all/
  http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/

Oracle Java, OpenJDK : version 8u71.
La version 8u71 est corrigée :
  http://www.oracle.com/technetwork/java/javase/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html

Oracle Java, OpenJDK : version 1.7.0_95.
La version 1.7.0_95 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/7u-relnotes-515228.html
  http://www.oracle.com/technetwork/java/javase/documentation/javase7supportreleasenotes-1601161.html

Oracle Java, OpenJDK : version 6u111.
La version 6u111 est corrigée :
  http://www.oracle.com/technetwork/indexes/downloads/index.html
  http://www.oracle.com/technetwork/java/javase/documentation/overview-156328.html

AIX : versions corrigées pour IBM Java.
Les versions corrigées sont indiquées dans les sources d'information.

Blue Coat Content Analysis System : version 1.3.6.1.
La version 1.3.6.1 est corrigée.

Blue Coat ProxySG : version 6.5.9.3.
La version 6.5.9.3 est corrigée.

Blue Coat ProxySG : version 6.6.2.1.
La version 6.6.2.1 est corrigée.

Debian 8 : nouveaux paquetages nss.
De nouveaux paquetages sont disponibles :
  Debian 8 : nss 2:3.26-1+debu8u1

Debian : nouveaux paquetages icedove.
De nouveaux paquetages sont disponibles :
  Debian 7 : icedove 38.6.0-1~deb7u1
  Debian 8 : icedove 38.6.0-1~deb8u1

Debian : nouveaux paquetages iceweasel.
De nouveaux paquetages sont disponibles :
  Debian 7 : iceweasel 38.6.0esr-1~deb7u1
  Debian 8 : iceweasel 38.6.0esr-1~deb8u1

Debian : nouveaux paquetages openjdk-6.
De nouveaux paquetages sont disponibles :
  Debian 7 : openjdk-6 6b38-1.13.10-1~deb7u1

Debian : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 7 : openssl 1.0.1e-2+deb7u19
  Debian 8 : openssl 1.0.1f-1

Fedora 23 : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles :
  Fedora 23 : thunderbird 38.6.0-1.fc23

IBM AIX : patch pour bos.net.tcp.
Un patch est disponible :
  https://aix.software.ibm.com/aix/efixes/security/nettcp_fix2.tar

IBM AIX : patch pour SLOTH.
Un patch est disponible :
  https://aix.software.ibm.com/aix/efixes/security/openssl_fix16.tar

IBM DB2 : solution pour MD5 dans TLS 1.2.
La solution est indiquée dans les sources d'information.

IBM Domino, Notes : patch pour Java.
Un patch est disponible :
  Pour la version 9.0.1 Fix Pack 5 : http://www.ibm.com/support/docview.wss?uid=swg21657963
  Pour la version 8.5.3 Fix Pack 6 : http://www-01.ibm.com/support/docview.wss?uid=swg21663874

IBM Domino : patch pour SLOTH.
Un patch est disponible :
  http://www-01.ibm.com/support/docview.wss?uid=swg21657963

IBM Notes : patch pour MD5.
Un patch est indiqué dans les sources d'information.

IBM Security QRadar SIEM : patch pour OpenSSL.
Un patch est disponible :
  IBM QRadar/QRM/QVM/QRIF 7.2.6 Patch 2 : http://www.ibm.com/support/fixcentral/swg/quickorder?product=ibm/Other+software/IBM+Security+QRadar+SIEM&release=7.2.0&platform=Linux&function=fixId&fixids=7.2.6-QRADAR-QRSIEM-20160121152811&includeRequisites=0&includeSupersedes=0&downloadMethod=http&source=fc
  IBM QRadar 7.1 MR2 Patch 12 Interim Fix 1 : http://www.ibm.com/support/fixcentral/swg/quickorder?parent=Security%2BSystems&product=ibm/Other+software/IBM+Security+QRadar+SIEM&release=7.1.0&platform=Linux&function=fixId&fixids=7.1.0-QRADAR-QRSIEM-1104447INT&includeRequisites=0&includeSupersedes=0&downloadMethod=http&source=fc

IBM SPSS Modeler : patch pour Java.
Un patch est indiqué dans les sources d'information.

IBM TADDM : solution pour Java.
La solution est indiquée dans les sources d'information.

IBM Tivoli Storage Manager : versions corrigées pour SLOTH.
Les versions corrigées sont :
  TSM Operations Center : 7.1.4.200 (ftp://ftp.software.ibm.com/storage/tivoli-storage-management/patches/opcenter/7.1.4.200/), 6.4.2.400 (ftp://ftp.software.ibm.com/storage/tivoli-storage-management/patches/opcenter/6.4.2.400/)
  TSM Client Management Service : 7.1.4.100 (ftp://ftp.software.ibm.com/storage/tivoli-storage-management/patches/cms/7.1.4.100)

IBM WebSphere Application Server : patch pour Java.
Un patch est indiqué dans les sources d'information, en fonction de la version installée de WebSphere.

IBM WebSphere MQ : versions corrigées pour Java.
Les versions corrigées sont indiquées dans les sources d'information.

NetApp SnapManager : solution pour TLS.
Le produit SnapManager for Sharepoint n'est finalement pas vulnérable d'après NetApp.

openSUSE 13.1 : nouveaux paquetages MozillaThunderbird.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : MozillaThunderbird 38.6.0-70.74.1

openSUSE 13.2 : nouveaux paquetages java-1_8_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : java-1_8_0-openjdk 1.8.0.72-21.1

openSUSE 13.2 : nouveaux paquetages polarssl.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : polarssl 1.3.9-14.1

openSUSE 13 : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : java-1_7_0-openjdk 1.7.0.95-24.27.1
  openSUSE 13.2 : java-1_7_0-openjdk 1.7.0.95-16.1

openSUSE Leap 42.1 : nouveaux paquetages java-1_7_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : java-1_7_0-openjdk 1.7.0.95-25.1

openSUSE Leap 42.1 : nouveaux paquetages java-1_8_0-openjdk.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : java-1_8_0-openjdk 1.8.0.72-6.1

openSUSE Leap 42.1 : nouveaux paquetages mbedtls.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : mbedtls 1.3.16-9.1

openSUSE : nouveaux paquetages MozillaFirefox.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : MozillaFirefox 43.0.3-100.1
  openSUSE 13.2 : MozillaFirefox 43.0.3-56.1
  openSUSE Leap 42.1 : MozillaFirefox 43.0.3-9.2

openSUSE : nouveaux paquetages mozilla-nss.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : mozilla-nss 3.20.2-65.1
  openSUSE 13.2 : mozilla-nss 3.20.2-22.1
  openSUSE Leap 42.1 : mozilla-nss 3.20.2-6.1

openSUSE : nouveaux paquetages seamonkey.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : seamonkey 2.40-62.1
  openSUSE 13.2 : seamonkey 2.40-26.1
  openSUSE Leap 42.1 : seamonkey 2.40-6.2

Oracle Communications : CPU de octobre 2017.
Un Critical Patch Update est disponible.

RHEL : nouveaux paquetages java-1.6.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-ibm 1.6.0.16.20-1jpp.1.el5
  RHEL 6 : java-1.6.0-ibm 1.6.0.16.20-1jpp.1.el6_7

RHEL : nouveaux paquetages java-1.7.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.7.0-openjdk 1.7.0.95-2.6.4.1.el5_11
  RHEL 6 : java-1.7.0-openjdk 1.7.0.95-2.6.4.0.el6_7
  RHEL 7 : java-1.7.0-openjdk 1.7.0.95-2.6.4.0.el7_2

RHEL : nouveaux paquetages java-1.7.0-oracle.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.7.0-oracle 1.7.0.95-1jpp.1.el5_11
  RHEL 6 : java-1.7.0-oracle 1.7.0.95-1jpp.1.el6_7
  RHEL 7 : java-1.7.0-oracle 1.7.0.95-1jpp.2.el7

RHEL : nouveaux paquetages java-1.7.x-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.7.1-ibm 1.7.1.3.30-1jpp.2.el6_7
  RHEL 5 : java-1.7.0-ibm 1.7.0.9.30-1jpp.1.el5

RHEL : nouveaux paquetages java-1.8.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 7 : java-1.8.0-ibm 1.8.0.2.10-1jpp.1.el7

RHEL : nouveaux paquetages java-1.8.0-openjdk.
De nouveaux paquetages sont disponibles :
  RHEL 7 : java-1.8.0-openjdk 1.8.0.71-2.b15.el7_2
  RHEL 6 : java-1.8.0-openjdk 1.8.0.71-1.b15.el6_7

RHEL : nouveaux paquetages java-1.8.0-oracle.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.8.0-oracle 1.8.0.71-1jpp.1.el6_7
  RHEL 7 : java-1.8.0-oracle 1.8.0.71-1jpp.1.el7

RHEL : nouveaux paquetages nss.
De nouveaux paquetages sont disponibles :
  RHEL 6 : nss 3.19.1-8.el6_7
  RHEL 7 : nss 3.19.1-19.el7_2

RHEL : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl 1.0.1e-42.el6_7.2
  RHEL 7 : openssl 1.0.1e-51.el7_2.2

SUSE LE 10 SP4 : nouveaux paquetages java-1_6_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 SP4 : java-1_6_0-ibm 1.6.0_sr16.20-0.8.1

SUSE LE 12 : nouveaux paquetages java-1_8_0-openjdk.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : java-1_8_0-openjdk 1.8.0.72-3.2

SUSE LE : nouveaux paquetages java-1_6_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP2 : java-1_6_0-ibm 1.6.0_sr16.20-49.1
  SUSE LE 11 SP3 : java-1_6_0-ibm 1.6.0_sr16.20-51.1
  SUSE LE 12 RTM : java-1_6_0-ibm 1.6.0_sr16.20-30.1

SUSE LE : nouveaux paquetages java-1_7_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP2 : java-1_7_0-ibm 1.7.0_sr9.30-45.1

SUSE LE : nouveaux paquetages java-1_7_0-openjdk (28/01/2016).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : java-1_7_0-openjdk 1.7.0.95-24.2
  SUSE LE 12 RTM : java-1_7_0-openjdk 1.7.0.95-24.2
  SUSE LE 11 SP4 : java-1_7_0-openjdk 1.7.0.95-0.17.2
  SUSE LE 11 SP3 : java-1_7_0-openjdk 1.7.0.95-0.17.2

SUSE LE : nouveaux paquetages java-1_7_1-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP4 : java-1_7_1-ibm 1.7.1_sr3.30-9.1
  SUSE LE 12 RTM : java-1_7_1-ibm 1.7.1_sr3.30-21.1
  SUSE LE 12 SP1 : java-1_7_1-ibm 1.7.1_sr3.30-21.1

SUSE LE : nouveaux paquetages java-1_8_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : java-1_8_0-ibm 1.8.0_sr2.10-7.1

Synology DS, RS : version 5.2-5644 Update 3.
La version 5.2-5644 Update 3 est corrigée :
  https://www.synology.com

Thunderbird : version 38.6.
La version 38.6 est corrigée :
  https://www.mozilla.org/en-US/thunderbird/

Ubuntu : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.10 : firefox 43.0.4+build3-0ubuntu0.15.10.1
  Ubuntu 15.04 : firefox 43.0.4+build3-0ubuntu0.15.04.1
  Ubuntu 14.04 LTS : firefox 43.0.4+build3-0ubuntu0.14.04.1
  Ubuntu 12.04 LTS : firefox 43.0.4+build3-0ubuntu0.12.04.1

Ubuntu : nouveaux paquetages libnss3.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.10 : libnss3 2:3.19.2.1-0ubuntu0.15.10.2
  Ubuntu 15.04 : libnss3 2:3.19.2.1-0ubuntu0.15.04.2
  Ubuntu 14.04 LTS : libnss3 2:3.19.2.1-0ubuntu0.14.04.2
  Ubuntu 12.04 LTS : libnss3 3.19.2.1-0ubuntu0.12.04.2

Ubuntu : nouveaux paquetages libssl1.0.0.
De nouveaux paquetages sont disponibles :
  Ubuntu 12.04 LTS : libssl1.0.0 1.0.1-4ubuntu5.33

Ubuntu : nouveaux paquetages openjdk-7.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.10 : openjdk-7-jre 7u95-2.6.4-0ubuntu0.15.10.1
  Ubuntu 15.04 : openjdk-7-jre 7u95-2.6.4-0ubuntu0.15.04.1
  Ubuntu 14.04 LTS: openjdk-7-jre 7u95-2.6.4-0ubuntu0.14.04.1

Ubuntu : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.10 : thunderbird 1:38.6.0+build1-0ubuntu0.15.10.1
  Ubuntu 14.04 LTS : thunderbird 1:38.6.0+build1-0ubuntu0.14.04.1
  Ubuntu 12.04 LTS : thunderbird 1:38.6.0+build1-0ubuntu0.12.04.1
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des bulletins de vulnérabilités applicatives. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.