L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilité de OpenSSL 1.1 : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de OpenSSL 1.1.
Gravité de ce bulletin : 2/4.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 10/11/2016.
Date révision : 13/12/2016.
Références de cette menace : 2004036, 2004940, 2011567, 492284, 492616, bulletinapr2017, CERTFR-2018-AVI-343, cisco-sa-20161114-openssl, cpuapr2019, cpujan2018, cpujul2017, CVE-2016-7053, CVE-2016-7054, CVE-2016-7055, ESA-2016-148, ESA-2016-149, FG-IR-17-019, JSA10775, NTAP-20170127-0001, NTAP-20170310-0002, NTAP-20180201-0001, openSUSE-SU-2017:0527-1, openSUSE-SU-2017:0941-1, openSUSE-SU-2018:0458-1, SA40423, VIGILANCE-VUL-21093.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans OpenSSL 1.1.

Un attaquant peut provoquer un buffer overflow via ChaCha20/Poly1305, afin de mener un déni de service. [grav:2/4; CVE-2016-7054]

Un attaquant peut forcer le déréférencement d'un pointeur NULL via CMS Structures, afin de mener un déni de service. [grav:2/4; CVE-2016-7053]

Une erreur se produit dans la Broadwell-specific Montgomery Multiplication Procedure, mais sans impact apparent. [grav:1/4; CVE-2016-7055]
Bulletin Vigil@nce complet... (Essai gratuit)

Cette annonce cyber-sécurité concerne les logiciels ou systèmes comme Cisco ASR, Cisco Aironet, Cisco ATA, Cisco AnyConnect Secure Mobility Client, ASA, AsyncOS, Cisco ESA, IOS par Cisco, IOS XR Cisco, Nexus par Cisco, NX-OS, Cisco Prime LMS, Cisco Router, Secure ACS, Cisco CUCM, Cisco Unified CCX, Cisco IP Phone, Cisco MeetingPlace, Cisco Wireless IP Phone, Cisco Wireless Controller, NetWorker, VNX Operating Environment, VNX Series, FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiOS, IRAD, Tivoli Storage Manager, Junos OS, Juniper Network Connect, NSM Central Manager, NSMXpress, SRX-Series, MySQL Community, MySQL Enterprise, Data ONTAP 7-Mode, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Identity Management, Oracle iPlanet Web Server, Oracle OIT, Solaris, Tuxedo, WebLogic, Oracle Web Tier, Percona Server, pfSense, Pulse Connect Secure, Pulse Secure Client.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin de faille est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 3 vulnérabilités.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cette annonce de vulnérabilité.

Solutions pour cette menace

OpenSSL : version 1.1.0c.
La version 1.1.0c est corrigée :
  https://www.openssl.org/source/

Cisco : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Copssh : version 5.9.0.
La version 5.9.0 est corrigée :
  https://www.itefix.net/

Elastic Kibana : version 5.2.1.
La version 5.2.1 est corrigée :
  https://www.elastic.co/downloads/kibana

EMC NetWorker : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

EMC VNXe3200 : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

FortiOS, FortiAnalyzer : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

IBM Cognos Business Intelligence : versions corrigées.
Les versions suivantes sont corrigées :
  Version 10.2.x : http://www.ibm.com/support/docview.wss?uid=swg24043664
  Version 10.1.1 : http://www.ibm.com/support/docview.wss?uid=swg24043663

IBM Rational Application Developer for WebSphere : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

IBM Spectrum Protect : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Junos OS, NSM : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

MySQL : version 5.5.58.
La version 5.5.58 est corrigée :
  http://dev.mysql.com/downloads/mysql/
  http://mysql.com/products/enterprise/

MySQL : version 5.6.38.
La version 5.6.38 est corrigée :
  http://dev.mysql.com/downloads/mysql/
  http://mysql.com/products/enterprise/

MySQL : version 5.7.20.
La version 5.7.20 est corrigée :
  http://dev.mysql.com/downloads/mysql/
  http://mysql.com/products/enterprise/

NetApp Data ONTAP : version 8.2.5 (19/01/2018).
La version 8.2.5 est corrigée :
  http://mysupport.netapp.com/NOW/download/software/ontap/8.2.5/

openSUSE Leap : nouveaux paquetages nodejs.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : nodejs 4.7.3-39.1
  openSUSE Leap 42.2 : nodejs4 4.7.3-5.3.1

openSUSE Leap : nouveaux paquetages openssl-steam.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : libopenssl1_0_0-steam 1.0.2k-4.3.1

Oracle Communications : CPU de avril 2019.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2518758.1
  https://support.oracle.com/rs?type=doc&id=2518763.1
  https://support.oracle.com/rs?type=doc&id=2522151.1
  https://support.oracle.com/rs?type=doc&id=2519787.1
  https://support.oracle.com/rs?type=doc&id=2522126.1
  https://support.oracle.com/rs?type=doc&id=2522123.1
  https://support.oracle.com/rs?type=doc&id=2518753.1
  https://support.oracle.com/rs?type=doc&id=2522121.1
  https://support.oracle.com/rs?type=doc&id=2528862.1
  https://support.oracle.com/rs?type=doc&id=2518754.1

Oracle Fusion Middleware : CPU de janvier 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2325393.1

Oracle Fusion Middleware : CPU de juillet 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2261562.1

Oracle Solaris : patch pour logiciels tiers de avril 2017 v1.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Percona Server for MySQL : version 5.7.20-19.
La version 5.7.20-19 est corrigée :
  https://www.percona.com/

pfSense : version 2.3.3-p1.
La version 2.3.3-p1 est corrigée :
  https://www.pfsense.org/download/

Pulse Secure : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des alertes de vulnérabilité applicative. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.