L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de OpenSAML Java : validation incomplète de certificat

Synthèse de la vulnérabilité 

Un attaquant peut placer un certificat valide sur un serveur illicite, puis inviter un client Apache HttpClient 3 à s'y connecter, afin d'intercepter des communications malgré l'utilisation du chiffrement.
Logiciels impactés : Fedora, Tivoli Storage Manager, WebSphere AS Liberty, Mule ESB, OpenSAML-J.
Gravité de cette vulnérabilité informatique : 2/4.
Date de création : 07/08/2015.
Références de cette annonce : 5695611, 5695629, 5695653, 964764, CVE-2014-3603, FEDORA-2015-10175, FEDORA-2015-10235, VIGILANCE-VUL-17608.

Description de la vulnérabilité 

La bibliothèque OpenSAML Java peut gérer des connexions HTTP sur SSL, à l'aide de Apache HttpClient 3 (VIGILANCE-VUL-12182).

Pour authentifier un serveur, le client doit non seulement valider le certificat (signatures cryptographiques, dates de validité, etc.), mais aussi que le certificat présenté corresponde bien au serveur visité. Cette vérification se fait normalement par les noms DNS, parfois par les adresses IP. Cependant, HttpClient ne vérifie pas la compatibilité entre les noms présents dans le certificat et celui demandé au niveau HTTP, ce qui fait que tout certificat valide est accepté.

Un attaquant peut donc placer un certificat valide sur un serveur illicite, puis inviter un client OpenSAML Java à s'y connecter, afin d'intercepter des communications malgré l'utilisation du chiffrement.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte de vulnérabilité concerne les logiciels ou systèmes comme Fedora, Tivoli Storage Manager, WebSphere AS Liberty, Mule ESB, OpenSAML-J.

Notre équipe Vigil@nce a déterminé que la gravité de cette menace est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de serveur internet.

Un attaquant avec un niveau de compétence expert peut exploiter ce bulletin cyber-sécurité.

Solutions pour cette menace 

OpenSAML Java : version 2.6.2.
La version 2.6.2 est corrigée :
  http://shibboleth.net/downloads/java-opensaml/2.6.2/

Fedora : nouveaux paquetages opensaml-java.
De nouveaux paquetages sont disponibles :
  Fedora 21 : opensaml-java 2.5.3-9.fc21
  Fedora 22 : opensaml-java 2.5.3-9.fc22

Fedora : nouveaux paquetages opensaml-java-openws.
De nouveaux paquetages sont disponibles :
  Fedora 21 : opensaml-java-openws 1.5.5-2.fc21
  Fedora 22 : opensaml-java-openws 1.5.5-2.fc22

IBM Spectrum Protect Backup-Archive Client : versions corrigées.
Les versions corrigées sont indiquées dans les sources d'information.

Mule ESB : version 3.5.4.
La version 3.5.4 est corrigée :
  https://www.mulesoft.com/

Mule ESB : version 3.7.3.
La version 3.7.3 est corrigée :
  https://www.mulesoft.com/

WebSphere AS Liberty : patch pour OpenSAML Java.
Un patch est indiqué dans les sources d'information.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une base de vulnérabilités informatiques. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.