L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

alerte cybersécurité CVE-2015-0286 CVE-2015-0287 CVE-2015-0289

OpenSSL 0.9/1.0.0/1.0.1 : cinq vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de OpenSSL 0.9/1.0.0/1.0.1.
Gravité de cette annonce : 3/4.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 19/03/2015.
Références de cette vulnérabilité informatique : 1701334, 1902519, 1960491, 1964410, 1975397, 55767, 7043086, 9010031, ARUBA-PSA-2015-007, bulletinapr2015, c04679334, CERTFR-2015-AVI-117, CERTFR-2015-AVI-146, CERTFR-2015-AVI-169, CERTFR-2015-AVI-177, CERTFR-2015-AVI-259, CERTFR-2016-AVI-303, cisco-sa-20150320-openssl, cisco-sa-20150408-ntpd, cpuapr2017, cpuoct2016, cpuoct2017, CTX216642, CVE-2015-0286, CVE-2015-0287, CVE-2015-0289, CVE-2015-0292, CVE-2015-0293, DSA-3197-1, DSA-3197-2, FEDORA-2015-4300, FEDORA-2015-4303, FG-IR-15-008, FreeBSD-SA-15:06.openssl, HPSBUX03334, JSA10680, MDVSA-2015:062, MDVSA-2015:063, NetBSD-SA2015-007, NTAP-20150323-0002, openSUSE-SU-2015:0554-1, openSUSE-SU-2015:1277-1, openSUSE-SU-2015:2243-1, openSUSE-SU-2016:0638-1, openSUSE-SU-2016:0640-1, RHSA-2015:0715-01, RHSA-2015:0716-01, RHSA-2015:0752-01, RHSA-2015:0800-01, RHSA-2016:0372-01, RHSA-2016:0445-01, RHSA-2016:0446-01, RHSA-2016:0490-01, SA40001, SA92, SB10110, SOL16301, SOL16302, SOL16317, SOL16319, SOL16320, SOL16321, SOL16323, SPL-98351, SPL-98531, SSA:2015-111-09, SSRT102000, SUSE-SU-2015:0541-1, SUSE-SU-2015:0553-1, SUSE-SU-2015:0553-2, SUSE-SU-2015:0578-1, SUSE-SU-2016:0678-1, TNS-2015-04, USN-2537-1, VIGILANCE-VUL-16429.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans OpenSSL 0.9/1.0.0/1.0.1.

Un attaquant peut forcer la lecture à une adresse invalide dans ASN1_TYPE_cmp, afin de mener un déni de service. [grav:2/4; CVE-2015-0286]

Un attaquant peut provoquer une corruption de mémoire dans ASN.1, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0287]

Un attaquant peut forcer le déréférencement d'un pointeur NULL dans PKCS#7, afin de mener un déni de service. [grav:2/4; CVE-2015-0289]

Un attaquant peut provoquer une corruption de mémoire avec des données base64, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0292]

Un attaquant peut provoquer un OPENSSL_assert, afin de mener un déni de service. [grav:2/4; CVE-2015-0293]
Bulletin Vigil@nce complet... (Essai gratuit)

Cet avis de menace concerne les logiciels ou systèmes comme Arkoon FAST360, ArubaOS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, FabricOS, Brocade Network Advisor, Cisco ASR, AnyConnect VPN Client, Cisco ACE, ASA, AsyncOS, Cisco CSS, Cisco ESA, IOS XE Cisco, Cisco IPS, IronPort Email, IronPort Web, Nexus par Cisco, NX-OS, Prime Infrastructure, Cisco PRSM, Cisco Router, Secure ACS, Cisco CUCM, Cisco Unified CCX, Cisco IP Phone, Cisco MeetingPlace, Cisco Wireless IP Phone, WebNS, Cisco WSA, Debian, BIG-IP Hardware, TMOS, Fedora, FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiClient, FortiManager, FortiManager Virtual Appliance, FreeBSD, hMailServer, HP-UX, AIX, IRAD, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere MQ, Juniper J-Series, Junos OS, Junos Space, Junos Space Network Management Platform, NSM Central Manager, NSMXpress, Juniper SBR, McAfee Email Gateway, ePO, McAfee NTBA, McAfee NGFW, VirusScan, McAfee Web Gateway, Data ONTAP 7-Mode, NetBSD, NetScreen Firewall, ScreenOS, Nodejs Core, OpenBSD, OpenSSL, openSUSE, openSUSE Leap, Oracle Communications, Solaris, pfSense, Puppet, RHEL, JBoss EAP par Red Hat, Base SAS Software, SAS SAS/CONNECT, Slackware, Splunk Enterprise, Stonesoft NGFW/VPN, SUSE Linux Enterprise Desktop, SLES, Nessus, Ubuntu, Unix (plateforme) ~ non exhaustif, WinSCP.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte de vulnérabilité est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 5 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cet avis de menace informatique.

Solutions pour cette menace

OpenSSL : version 1.0.1m.
La version 1.0.1m est corrigée :
  https://www.openssl.org/

OpenSSL : version 1.0.0r.
La version 1.0.0r est corrigée :
  https://www.openssl.org/

OpenSSL : version 0.9.8zf.
La version 0.9.8zf est corrigée :
  https://www.openssl.org/

Arkoon Firewall FAST360 : versions 5.0/34 et 6.0/8.
Les versions 5.0/34 et 6.0/8 sont corrigées :
  http://www.arkoon.net/

ArubaOS : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Blue Coat ProxySG : version 6.2.16.4.
La version 6.2.16.4 est corrigée.

Blue Coat ProxySG : version 6.5.7.5.
La version 6.5.7.5 est corrigée.

Blue Coat : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

Brocade : solution pour OpenSSL (12/05/2015).
La solution est indiquée dans les sources d'information.

Cisco : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Citrix NetScaler Platform IPMI LOM : solution.
La solution est indiquée dans les sources d'information.

Citrix NetScaler : versions corrigées pour LOM Firmware.
Les versions corrigées sont indiquées dans les sources d'information.

Debian : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 7 : openssl 1.0.1e-2+deb7u16

F5 BIG-IP : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Fedora : nouveaux paquetages openssl (23/03/2015).
De nouveaux paquetages sont disponibles :
  Fedora 20 : openssl 1.0.1e-42.fc20
  Fedora 21 : openssl 1.0.1k-6.fc21

Fortinet : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

FreeBSD : patch pour OpenSSL.
Un patch est disponible :
FreeBSD 8.4, 9.3 :
  https://security.FreeBSD.org/patches/SA-15:06/openssl-0.9.8.patch
  https://security.FreeBSD.org/patches/SA-15:06/openssl-0.9.8-errata.patch
FreeBSD 10.1 :
  fetch https://security.FreeBSD.org/patches/SA-15:06/openssl-1.0.1.patch
  fetch https://security.FreeBSD.org/patches/SA-15:06/openssl-1.0.1-errata.patch

hMailServer : version 5.6.2.
La version 5.6.2 est corrigée :
  https://www.hmailserver.com/download

HP-UX : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

IBM AIX : patch pour OpenSSL.
Un patch est disponible :
  ftp://aix.software.ibm.com/aix/efixes/security/openssl_fix13.tar

IBM Rational Application Developer : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

IBM Tivoli Storage Manager : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information, par produit et par version installée.

IBM Tivoli Workload Scheduler Application : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Juniper : versions corrigées pour OpenSSL-19/03/2015.
Les versions corrigées sont indiquées dans les sources d'information.

LibreSSL : version 2.1.6.
La version 2.1.6 est corrigée :
  http://www.libressl.org/

Mandriva BS1 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : openssl 1.0.0r-1.mbs1

Mandriva BS2 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Mandriva BS2 : openssl 1.0.1m-1.mbs2

McAfee : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Nessus : version 5.2.9.
La version 5.2.9 est corrigée :
  http://www.tenable.com/

Nessus : version 6.3.4.
La version 6.3.4 est corrigée :
  http://www.tenable.com/

NetApp Data ONTAP : patch pour OpenSSL 03/2015.
Un patch est disponible :
  Data ONTAP Edge : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=899856
  Data ONTAP operating in 7-Mode : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=899855
  Data ONTAP SMI-S Agent : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=899852

NetBSD : patch pour OpenSSL (20/08/2015).
Un patch est disponible dans les sources d'information.

Node.js : version 0.10.38.
La version 0.10.38 est corrigée :
  http://nodejs.org/dist/v0.10.38/node-v0.10.38.tar.gz

Node.js : version 0.12.1.
La version 0.12.1 est corrigée :
  http://nodejs.org/dist/v0.12.1/node-v0.12.1.tar.gz

OpenBSD : patch pour OpenSSL.
Un patch est disponible :
  http://ftp.openbsd.org/pub/OpenBSD/patches/5.5/common/024_openssl.patch.sig
  http://ftp.openbsd.org/pub/OpenBSD/patches/5.6/common/020_openssl.patch.sig

openSUSE 13.1 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : openssl 1.0.1k-11.84.1

openSUSE 13.2 : nouveaux paquetages libressl.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : libressl 2.2.1-2.3.1

openSUSE : nouveaux paquetages libopenssl0_9_8.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : libopenssl0_9_8 0.9.8zh-9.3.1
  openSUSE Leap 42.1 : libopenssl0_9_8 0.9.8zh-14.1

openSUSE : nouveaux paquetages mysql-community-server.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : mysql-community-server 5.6.27-7.13.1
  openSUSE 13.2 : mysql-community-server 5.6.27-2.12.1
  openSUSE Leap 42.1 : mysql-community-server 5.6.27-8.1

openSUSE : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : openssl 1.0.1k-11.68.1
  openSUSE 13.2 : openssl 1.0.1k-2.20.1

Oracle Communications : CPU de avril 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2247453.1
  https://support.oracle.com/rs?type=doc&id=2248470.1
  https://support.oracle.com/rs?type=doc&id=2251718.1
  https://support.oracle.com/rs?type=doc&id=2245233.1
  https://support.oracle.com/rs?type=doc&id=2248526.1
  https://support.oracle.com/rs?type=doc&id=2250567.1

Oracle Communications : CPU de octobre 2016.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2188694.1

Oracle Communications : CPU de octobre 2017.
Un Critical Patch Update est disponible.

pfSense : version 2.2.2.
La version 2.2.2 est corrigée :
  https://pfsense.org/products/

Puppet Enterprise : version 3.8.0.
La version 3.8.0 est corrigée :
  https://puppetlabs.com/

Red Hat JBoss Enterprise Application Platform : patch pour OpenSSL.
Un patch est disponible :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=appplatform&downloadType=securityPatches&version=6.4

Red Hat JBoss Web Server : patch pour OpenSSL.
Un patch est disponible :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?downloadType=securityPatches&product=webserver&version=2.1.0
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=webserver&downloadType=securityPatches&version=3.0.2

Red Hat Storage Server 2.1 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl 1.0.1e-30.el6_6.7

RHEL 5 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 5 : openssl 0.9.8e-33.el5_11

RHEL : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl 1.0.1e-30.el6_6.7
  RHEL 7 : openssl 1.0.1e-42.el7_1.4

RHEL : nouveaux paquetages openssl098e.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl098e 0.9.8e-20.el6_7.1
  RHEL 7 : openssl098e 0.9.8e-29.el7_2.3

SAS : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Slackware : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Slackware 13.0 : openssl 0.9.8zf-*-1_slack13.0
  Slackware 13.1 : openssl 0.9.8zf-*-1_slack13.1
  Slackware 13.37 : openssl 0.9.8zf-*-1_slack13.37
  Slackware 14.0 : openssl 1.0.1m-*-1_slack14.0
  Slackware 14.1 : openssl 1.0.1m-*-1_slack14.1

Snare Enterprise Agent for MSSQL : version 1.3.4.
La version 1.3.4 est corrigée :
  https://snaresupport.intersectalliance.com/

Snare Enterprise Agent for Windows : version 4.2.12.
La version 4.2.12 est corrigée :
  https://snaresupport.intersectalliance.com/

Solaris : patch pour OpenSSL.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Solaris : patch pour Third Party (15/04/2015).
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Splunk Enterprise : version 6.2.3.
La version 6.2.3 est corrigée :
  http://www.splunk.com/

Splunk Enterprise : versions 5.0.13, 6.0.9 et 6.1.8.
Les versions 5.0.13, 6.0.9 et 6.1.8 sont corrigées :
  http://www.splunk.com/

SUSE LE 10 SP4 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 SP4 : openssl 0.9.8a-18.94.2

SUSE LE 12 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 : openssl 1.0.1i-20.1

Ubuntu : nouveaux paquetages libssl.
De nouveaux paquetages sont disponibles :
  Ubuntu 14.10 : libssl1.0.0 1.0.1f-1ubuntu9.4
  Ubuntu 14.04 LTS : libssl1.0.0 1.0.1f-1ubuntu2.11
  Ubuntu 12.04 LTS : libssl1.0.0 1.0.1-4ubuntu5.25
  Ubuntu 10.04 LTS : libssl0.9.8 0.9.8k-7ubuntu8.27

WebSphere MQ : version 8.0.0.3.
La version 8.0.0.3 est corrigée :
  http://www-01.ibm.com/support/docview.wss?rs=171&uid=swg21959554

WinSCP : version 5.7.1.
La version 5.7.1 est corrigée :
  http://winscp.net/
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une contre-mesure de vulnérabilités de réseaux. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.