L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

alerte de faille CVE-2015-0138 CVE-2015-0204

OpenSSL, LibReSSL, Mono, JSSE : affaiblissement du chiffrement TLS via FREAK

Synthèse de la vulnérabilité

Un attaquant, placé en Man-in-the-middle, peut forcer le client Chrome, JSSE, LibReSSL, Mono ou OpenSSL à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Gravité de cette alerte : 2/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 04/03/2015.
Date révision : 09/03/2015.
Références de cette alerte : 122007, 1450666, 1610582, 1647054, 1698613, 1699051, 1699810, 1700225, 1700997, 1701485, 1902260, 1903541, 1963275, 1968485, 1973383, 55767, 7014463, 7022958, 9010028, ARUBA-PSA-2015-003, bulletinjan2015, c04556853, c04679334, c04773241, CERTFR-2015-AVI-108, CERTFR-2015-AVI-117, CERTFR-2015-AVI-146, CERTFR-2016-AVI-303, cisco-sa-20150310-ssl, cpuapr2017, cpujul2018, cpuoct2017, CTX216642, CVE-2015-0138, CVE-2015-0204, DSA-3125-1, FEDORA-2015-0512, FEDORA-2015-0601, FG-IR-15-007, FREAK, FreeBSD-SA-15:01.openssl, HPSBMU03345, HPSBUX03244, HPSBUX03334, JSA10679, MDVSA-2015:019, MDVSA-2015:062, MDVSA-2015:063, NetBSD-SA2015-006, NetBSD-SA2015-007, NTAP-20150205-0001, openSUSE-SU-2015:0130-1, openSUSE-SU-2016:0640-1, RHSA-2015:0066-01, RHSA-2015:0800-01, RHSA-2015:1020-01, RHSA-2015:1021-01, RHSA-2015:1091-01, SA40015, SA88, SA91, SB10108, SB10110, SOL16120, SOL16123, SOL16124, SOL16126, SOL16135, SOL16136, SOL16139, SP-CAAANXD, SPL-95203, SPL-95206, SSA:2015-009-01, SSRT101885, SSRT102000, SUSE-SU-2015:1073-1, SUSE-SU-2015:1085-1, SUSE-SU-2015:1086-1, SUSE-SU-2015:1086-2, SUSE-SU-2015:1086-3, SUSE-SU-2015:1086-4, SUSE-SU-2015:1138-1, SUSE-SU-2015:1161-1, T1022075, USN-2459-1, VIGILANCE-VUL-16301, VN-2015-003_FREAK, VU#243585.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le protocole TLS utilise une succession de messages, que le client et le serveur doivent échanger, avant d'établir une session sécurisée.

Plusieurs algorithmes cryptographiques sont négociables, dont les algorithmes compatibles avec l'export USA (moins de 512 bits).

Un attaquant placé en Man-in-the-middle peut injecter en début de session TLS un message choisissant un algorithme d'export. Ce message devrait générer une erreur, cependant certains clients TLS l'acceptent.

Note : la variante concernant Windows est décrite dans VIGILANCE-VUL-16332.

Un attaquant, placé en Man-in-the-middle, peut donc forcer le client Chrome, JSSE, LibReSSL, Mono ou OpenSSL à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Bulletin Vigil@nce complet... (Essai gratuit)

Ce bulletin de menace concerne les logiciels ou systèmes comme Arkoon FAST360, ArubaOS, Avaya Ethernet Routing Switch, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, FabricOS, Brocade Network Advisor, Cisco ATA, AnyConnect VPN Client, Cisco ACE, ASA, AsyncOS, Cisco ESA, IOS par Cisco, IronPort Email, IronPort Web, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Prime LMS, Prime Network Control Systems, Cisco PRSM, Cisco Router, Cisco IP Phone, Cisco MeetingPlace, Cisco WSA, Clearswift Email Gateway, Debian, Black Diamond, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, Fedora, FortiClient, FortiGate, FortiGate Virtual Appliance, FortiOS, FreeBSD, Chrome, HPE NNMi, HP-UX, AIX, DB2 UDB, Domino, Notes, IRAD, Security Directory Server, Tivoli Directory Server, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, Juniper J-Series, Junos OS, Junos Space, Junos Space Network Management Platform, NSM Central Manager, NSMXpress, Juniper SBR, McAfee Email Gateway, ePO, McAfee NTBA, McAfee NGFW, VirusScan, McAfee Web Gateway, Windows (plateforme) ~ non exhaustif, Data ONTAP 7-Mode, NetBSD, NetScreen Firewall, ScreenOS, Nodejs Core, OpenBSD, Java OpenJDK, OpenSSL, openSUSE, openSUSE Leap, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Java Oracle, Solaris, Tuxedo, WebLogic, pfSense, Puppet, RHEL, Base SAS Software, SAS SAS/CONNECT, Slackware, Sophos AV, Splunk Enterprise, Stonesoft NGFW/VPN, stunnel, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de cet avis de faille informatique est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de serveur internet.

Ce bulletin concerne 2 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter ce bulletin sécurité.

Solutions pour cette menace

Chrome : version 41.0.2272.76.
La version 41.0.2272.76 est corrigée :
  http://www.google.com/chrome/index.html

LibReSSL : version 2.1.2.
La version 2.1.2 est corrigée :
  http://www.libressl.org/http://www.libressl.org/

Mono : version 3.12.1.
La version 3.12.1 est corrigée :
  http://www.mono-project.com/download/

OpenSSL : version 1.0.1k.
La version 1.0.1k est corrigée :
  https://www.openssl.org/source/

OpenSSL : version 1.0.0p.
La version 1.0.0p est corrigée :
  https://www.openssl.org/source/

OpenSSL : version 0.9.8zd.
La version 0.9.8zd est corrigée :
  https://www.openssl.org/source/

AIX : patch pour OpenSSL.
Un patch est disponible :
  ftp://aix.software.ibm.com/aix/efixes/security/openssl_fix12.tar

AIX : versions corrigées pour JSSE.
Les versions corrigées sont indiquées dans les sources d'information.

Arkoon Firewall FAST360 : versions 5.0/34 et 6.0/8.
Les versions 5.0/34 et 6.0/8 sont corrigées :
  http://www.arkoon.net/

ArubaOS : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Avaya Ethernet Routing Switch : version 7.2.23.0.
La version 7.2.23.0 est corrigée :
  https://downloads.avaya.com/css/P8/documents/101023231
  http://support.avaya.com

Blue Coat : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Blue Coat : versions corrigées pour FREAK.
Les versions corrigées sont indiquées dans les sources d'information.

Brocade : solution pour OpenSSL (12/05/2015).
La solution est indiquée dans les sources d'information.

Brocade : solution pour OpenSSL (30/03/2015).
La solution est indiquée dans les sources d'information.

Cisco : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Citrix NetScaler Platform IPMI LOM : solution.
La solution est indiquée dans les sources d'information.

Citrix NetScaler : versions corrigées pour LOM Firmware.
Les versions corrigées sont indiquées dans les sources d'information.

Clearswift SECURE Email Gateway : version 3.8.5.
La version 3.8.5 est corrigée :
  http://app-patches.clearswift.net/Patches/Patch3_8_5.htm

Debian : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 7 : openssl 1.0.1e-2+deb7u14

Extreme Networks : solution pour FREAK.
La solution est indiquée dans les sources d'information.

F5 BIG-IP : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

Fedora : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Fedora 20 : openssl 1.0.1e-41.fc20
  Fedora 21 : openssl 1.0.1k-1.fc21

Fortinet FortiOS : versions 5.0.11 et 5.2.3.
Les versions 5.0.11 et 5.2.3 sont corrigées.

FreeBSD : patch pour OpenSSL.
Un patch est disponible :
  https://security.FreeBSD.org/patches/SA-15:01/openssl-9.3.patch
  https://security.FreeBSD.org/patches/SA-15:01/openssl-10.0.patch
  https://security.FreeBSD.org/patches/SA-15:01/openssl-10.1.patch

HP Network Node Manager i : patch pour OpenSSL.
Un patch est disponible dans les sources d'information.

HP-UX : OpenSSL version A.00.09.08zf.
La version OpenSSL A.00.09.08zf est corrigée :
  https://h20392.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=OPENSSL11I

HP-UX : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

IBM AIX : patch pour Java.
L'annonce indique les URLs du patch applicable pour chaque version du SDK.

IBM DB2 : version 10.1 Fix Pack 5.
La version 10.1 Fix Pack 5 est corrigée :
  http://www-304.ibm.com/support/docview.wss?uid=swg24040170#Description

IBM DB2 : version 10.1 Fix Pack 6.
La version 10.1 Fix Pack 6 est corrigée.

IBM DB2 : version 10.5 Fix Pack 6.
La version 10.5 Fix Pack 6 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg24040522

IBM DB2 : version 10.5 Fix Pack 7.
La version 10.5 Fix Pack 7 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg24041243

IBM DB2 : version 9.7 Fix Pack 11.
La version 9.7 Fix Pack 11 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg24040935

IBM Notes, Domino : patch pour Java 6.
Un patch est disponible :
  version 9.0.1.x : http://www-01.ibm.com/support/docview.wss?uid=swg21657963
  version 8.5.3 : http://www-01.ibm.com/support/docview.wss?uid=swg21663874

IBM Rational Application Developer : solution pour IBM Java SDK.
La solution est indiquée dans les sources d'information.

IBM Security Directory Server : solution pour FREAK.
La solution est indiquée dans les sources d'information.

IBM Tivoli Directory Server : patch pour FREAK.
Un patch est disponible :
  http://www-01.ibm.com/support/docview.wss?uid=swg21698703

IBM Tivoli Storage Manager : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information.

IBM Tivoli Workload Scheduler : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

IBM WebSphere MQ : solution pour Java.
La solution est indiquée dans les sources d'information.

Juniper : versions corrigées pour OpenSSL-08/01/2015.
Les versions corrigées sont indiquées dans les sources d'information.

Mandriva BS1 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : openssl 1.0.0r-1.mbs1

Mandriva BS2 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Mandriva BS2 : openssl 1.0.1m-1.mbs2

Mandriva : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : openssl 1.0.0p-1.mbs1

McAfee : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

McAfee : solution pour OpenSSL FREAK.
La solution est indiquée dans les sources d'information.

NetApp : solution pour OpenSSL 01/2015.
La solution est indiquée dans les sources d'information.

NetBSD : patch pour OpenSSL (20/03/2015).
Un patch est disponible dans les sources d'information.

NetBSD : patch pour OpenSSL (20/08/2015).
Un patch est disponible dans les sources d'information.

Node.js : version 0.10.36.
La version 0.10.36 est corrigée :
  http://nodejs.org/download/

OpenBSD : patch pour FREAK.
Un patch est disponible dans les sources d'information.

openSUSE : nouveaux paquetages libopenssl0_9_8.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : libopenssl0_9_8 0.9.8zh-9.3.1
  openSUSE Leap 42.1 : libopenssl0_9_8 0.9.8zh-14.1

openSUSE : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : openssl 1.0.1k-11.64.2
  openSUSE 13.2 : openssl 1.0.1k-2.16.2

Oracle Communications : CPU de avril 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2247453.1
  https://support.oracle.com/rs?type=doc&id=2248470.1
  https://support.oracle.com/rs?type=doc&id=2251718.1
  https://support.oracle.com/rs?type=doc&id=2245233.1
  https://support.oracle.com/rs?type=doc&id=2248526.1
  https://support.oracle.com/rs?type=doc&id=2250567.1

Oracle Communications : CPU de octobre 2017.
Un Critical Patch Update est disponible.

Oracle Fusion Middleware : CPU de juillet 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2394520.1

pfSense : version 2.2.
La version 2.2 est corrigée :
  https://www.pfsense.org/

Puppet Enterprise : version 3.7.2.
La version 3.7.2 est corrigée :
  http://puppetlabs.com/

Red Hat Satellite 5 : nouveaux paquetages java-1.6.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-ibm 1.6.0.16.4-1jpp.1.el5
  RHEL 6 : java-1.6.0-ibm 1.6.0.16.4-1jpp.1.el6_6

RHEL 5 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 5 : openssl 0.9.8e-33.el5_11

RHEL 6, 7 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl 1.0.1e-30.el6_6.5
  RHEL 7 : openssl 1.0.1e-34.el7_0.7

RHEL : nouveaux paquetages java-1.5.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.5.0-ibm 1.5.0.16.10-1jpp.1.el5
  RHEL 6 : java-1.5.0-ibm 1.5.0.16.10-1jpp.1.el6_6

RHEL : nouveaux paquetages java-1.7.1-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.7.1-ibm 1.7.1.3.0-1jpp.2.el6_6
  RHEL 7 : java-1.7.1-ibm 1.7.1.3.0-1jpp.2.el7_1

SAS : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Slackware : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Slackware 13.0 : openssl 0.9.8zd-*-1_slack13.0
  Slackware 13.1 : openssl 0.9.8zd-*-1_slack13.1
  Slackware 13.37 : openssl 0.9.8zd-*-1_slack13.37
  Slackware 14.0 : openssl 1.0.1k-*-1_slack14.0
  Slackware 14.1 : openssl 1.0.1k-*-1_slack14.1

Snare Enterprise Agent for Windows : version 4.2.9.
La version 4.2.9 est corrigée :
  https://snaresupport.intersectalliance.com/

Solaris : patch pour Third Party.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Sophos Anti-Virus : versions corrigées pour FREAK.
Les versions corrigées sont indiquées dans les sources d'information.

Splunk Enterprise : version 5.0.12.
La version 5.0.12 est corrigée :
  http://www.splunk.com/

Splunk Enterprise : version 6.0.8.
La version 6.0.8 est corrigée :
  http://www.splunk.com/

Splunk Enterprise : version 6.1.7.
La version 6.1.7 est corrigée :
  http://www.splunk.com/

Splunk Enterprise : version 6.2.2.
La version 6.2.2 est corrigée :
  http://www.splunk.com/

stunnel : version 5.10.
La version 5.10 est corrigée :
  https://www.stunnel.org/downloads.html

SUSE LE 10 : nouveaux paquetages IBM Java.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : java-1_6_0-ibm 1.6.0_sr16.4-0.8.1

SUSE LE 12 : nouveaux paquetages java-1_6_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 : java-1_6_0-ibm 1.6.0_sr16.4-15.1

SUSE LE 12 : nouveaux paquetages java-1_7_1-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 : java-1_7_1-ibm 1.7.1_sr3.0-11.1

SUSE LE : nouveaux paquetages IBM Java.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : java-1_5_0-ibm 1.5.0_sr16.10-0.6.1
  SUSE LE 11 : java-1_6_0-ibm 1.6.0_sr16.4-0.3.1, java-1_7_0-ibm 1.7.0_sr9.0-0.7.1

Ubuntu : nouveaux paquetages libssl.
De nouveaux paquetages sont disponibles :
  Ubuntu 14.10 : libssl1.0.0 1.0.1f-1ubuntu9.1
  Ubuntu 14.04 LTS : libssl1.0.0 1.0.1f-1ubuntu2.8
  Ubuntu 12.04 LTS : libssl1.0.0 1.0.1-4ubuntu5.21
  Ubuntu 10.04 LTS : libssl0.9.8 0.9.8k-7ubuntu8.23

WebSphere AS : contre-mesure pour FREAK.
Une contre-mesure est indiquée dans la source d'information.

WebSphere AS : patch pour Java.
Plusieurs patchs sont disponibles dans les sources d'information, à choisir selon la version de WebSphere AS.

WebSphere AS : version 7.0.0.39.
La version 7.0.0.39 est corrigée :
  http://www.ibm.com/support/docview.wss?uid=swg24041013

WebSphere AS : version 8.0.0.11.
La version 8.0.0.11 est corrigée :
  http://www.ibm.com/support/docview.wss?uid=swg24040425

WebSphere MQ : solution.
La solution est indiquée dans les sources d'information.
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des annonces de vulnérabilité de système. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.