L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données et des outils pour y remédier.

Vulnérabilité de OpenSSL : déni de service via ECDH

Synthèse de la vulnérabilité

Un attaquant, situé sur un serveur TLS, peut employer Anonymous ECDH, afin de mener un déni de service dans les applications clients basées sur OpenSSL.
Gravité de ce bulletin : 2/4.
Date création : 05/06/2014.
Références de cette menace : 1676496, aid-06062014, c04336637, c04363613, c04368523, CERTFR-2014-AVI-253, CERTFR-2014-AVI-254, CERTFR-2014-AVI-255, CERTFR-2014-AVI-260, CERTFR-2014-AVI-274, CERTFR-2014-AVI-279, CERTFR-2014-AVI-286, cisco-sa-20140605-openssl, CTX140876, CVE-2014-3470, DOC-53313, DSA-2950-1, DSA-2950-2, FEDORA-2014-17576, FEDORA-2014-17587, FEDORA-2014-7101, FEDORA-2014-7102, FG-IR-14-018, FreeBSD-SA-14:14.openssl, HPSBMU03069, HPSBUX03046, JSA10629, MDVSA-2014:105, MDVSA-2014:106, MDVSA-2015:062, NetBSD-SA2014-006, openSUSE-SU-2014:0764-1, openSUSE-SU-2014:0765-1, openSUSE-SU-2016:0640-1, RHSA-2014:0625-01, RHSA-2014:0628-01, RHSA-2014:0679-01, SA40006, SA80, SB10075, SPL-85063, SSA:2014-156-03, SSA-234763, SSRT101590, SUSE-SU-2014:0759-1, SUSE-SU-2014:0759-2, SUSE-SU-2014:0761-1, SUSE-SU-2014:0762-1, USN-2232-1, USN-2232-2, USN-2232-3, USN-2232-4, VIGILANCE-VUL-14847, VMSA-2014-0006, VMSA-2014-0006.1, VMSA-2014-0006.10, VMSA-2014-0006.11, VMSA-2014-0006.2, VMSA-2014-0006.3, VMSA-2014-0006.4, VMSA-2014-0006.5, VMSA-2014-0006.6, VMSA-2014-0006.7, VMSA-2014-0006.8, VMSA-2014-0006.9.

Description de la vulnérabilité

Un client basé sur la bibliothèque OpenSSL peut créer une session chiffrée, utilisant des courbes elliptiques (ECDH : courbe elliptiques et Diffie-Hellman).

Cependant, un serveur illicite peut négocier une suite Anonymous ECDH, afin de mener un déni de service du client d'OpenSSL.

Un attaquant, situé sur un serveur TLS, peut donc employer Anonymous ECDH, afin de mener un déni de service dans les applications clients basées sur OpenSSL.
Bulletin Vigil@nce complet... (Demandez votre essai gratuit)

Cette alerte de menace informatique concerne les logiciels ou systèmes comme ArubaOS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, Cisco ASR, Cisco ATA, Cisco ACE, ASA, AsyncOS, Cisco Catalyst, CiscoWorks, Cisco Content SMA, Cisco CSS, Cisco ESA, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, Cisco IPS, IronPort Email, IronPort Management, IronPort Web, Nexus par Cisco, NX-OS, Prime Collaboration Assurance, Prime Collaboration Manager, Prime Infrastructure, Cisco PRSM, Cisco Router, Secure ACS, Cisco CUCM, Cisco Manager Attendant Console, Cisco Unified CCX, Cisco IP Phone, Cisco MeetingPlace, Cisco Wireless IP Phone, Unity Cisco, WebNS, Cisco WSA, Debian, Avamar, EMC CAVA, EMC CEE, EMC CEPA, Celerra FAST, Celerra NS, Celerra NX4, EMC CMDCE, Connectrix Switch, ECC, NetWorker, PowerPath, Unisphere EMC, VNX Operating Environment, VNX Series, Fedora, FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiClient, FortiManager, FortiManager Virtual Appliance, FreeBSD, HP Operations, HP-UX, AIX, WebSphere MQ, Juniper J-Series, Junos OS, Junos Pulse, Juniper Network Connect, Juniper UAC, McAfee Web Gateway, NetBSD, OpenBSD, OpenSSL, openSUSE, openSUSE Leap, Solaris, Polycom CMA, HDX, RealPresence Collaboration Server, Polycom VBP, RHEL, ACE Agent, ACE Server, RSA Authentication Agent, RSA Authentication Manager, SecurID, ROS, ROX, RuggedSwitch, SIMATIC, Slackware, Splunk Enterprise, stunnel, SUSE Linux Enterprise Desktop, SLES, Ubuntu, ESXi, vCenter Server, VMware vSphere, VMware vSphere Hypervisor.

Notre équipe Vigil@nce a déterminé que la gravité de cette faille est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de serveur internet.

Un attaquant avec un niveau de compétence expert peut exploiter ce bulletin de vulnérabilité informatique.

Solutions pour cette menace

OpenSSL : version 1.0.1h.
La version 1.0.1h est corrigée :
  http://www.openssl.org/

OpenSSL : version 1.0.0m.
La version 1.0.0m est corrigée :
  http://www.openssl.org/

OpenSSL : version 0.9.8za.
La version 0.9.8za est corrigée :
  http://www.openssl.org/

Splunk : version 5.0.9.
La version 5.0.9 est corrigée :
  http://www.splunk.com/

Splunk : version 6.0.5.
La version 6.0.5 est corrigée :
  http://www.splunk.com/

Splunk : version 6.1.2.
La version 6.1.2 est corrigée :
  http://www.splunk.com/

stunnel : version 5.02.
La version 5.02 est corrigée :
  https://www.stunnel.org/downloads.html

AIX : patch pour OpenSSL.
Un patch est disponible dans les sources d'information.

Aruba : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Blue Coat : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Cisco : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.
Les produits vulnérables sont listés dans les sources d'informations.

Debian : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 7 : openssl 1.0.1e-2+deb7u11

EMC : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Fedora : nouveaux paquetages mingw-openssl.
De nouveaux paquetages sont disponibles :
  Fedora 20 : mingw-openssl 1.0.1j-1.fc20
  Fedora 21 : mingw-openssl 1.0.1j-1.fc21

Fedora : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Fedora 19 : openssl 1.0.1e-38.fc19
  Fedora 20 : openssl 1.0.1e-38.fc20

Fortinet : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

FreeBSD : patch pour openssl.
Un patch est disponible dans les sources d'information.

HP Operations Analytics : solution pour OpenSSL.
La solution est indiquée dans le document suivant :
  http://support.openview.hp.com/selfsolve/document/KM01020441

HP Operations Orchestration : solution pour OpenSSL.
La solution est indiquée dans le document suivant :
  http://support.openview.hp.com/selfsolve/document/LID/OO_00030

HP-UX : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

Juniper : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Mandriva BS2 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Mandriva BS2 : openssl 1.0.1m-1.mbs2

Mandriva BS : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : openssl 1.0.0m-1.mbs1

Mandriva ES : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Mandriva ES5 : openssl 0.9.8h-3.18mdvmes5.2

McAfee Web Gateway : patch pour OpenSSL.
Un patch est disponible dans les sources d'information.

NetBSD : patch pour OpenSSL.
Un patch est disponible dans les sources d'information.

OpenBSD : patch pour openssl.
Un patch est disponible dans les sources d'information.

openSUSE : nouveaux paquetages libopenssl0_9_8.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : libopenssl0_9_8 0.9.8zh-9.3.1
  openSUSE Leap 42.1 : libopenssl0_9_8 0.9.8zh-14.1

openSUSE : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE 11.4 : openssl 1.0.0m-18.53.1
  openSUSE 12.3 : openssl 1.0.1h-1.60.1
  openSUSE 13.1 : openssl 1.0.1h-11.48.1

Polycom Converged Management Application : version 5.2.6.
La version 5.2.6 est corrigée.

Polycom HDX : version 3.1.5.
La version 3.1.5 est corrigée.

Polycom RMX 1800/Collaboration Server : version 8.4.1.
La version 8.4.1 est corrigée.

Polycom Video Border Proxy : version 11.2.18.
La version 11.2.18 est corrigée.

Red Hat Storage Server 2.1 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl 1.0.1e-16.el6_5.14

RHEL 6.5 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl 1.0.1e-16.el6_5.14

RHEL 7.0 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 7 : openssl 1.0.1e-34.el7_0.3

Siemens : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Slackware : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Slackware 13.0 : openssl 0.9.8za-i486-1_slack13.0
  Slackware 13.1 : openssl 0.9.8za-i486-1_slack13.1
  Slackware 13.37 : openssl 0.9.8za-i486-1_slack13.37
  Slackware 14.0 : openssl 1.0.1h-i486-1_slack14.0
  Slackware 14.1 : openssl 1.0.1h-i486-1_slack14.1

Solaris : version 11.1.20.5.0.
La version 11.1.20.5.0 est corrigée :
  https://support.oracle.com/rs?type=doc&id=1683966.1

SUSE LE 10 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : openssl 0.9.8a-18.82.4

SUSE LE 11 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : openssl 0.9.8j-0.58.1

Ubuntu : nouveaux paquetages libssl.
De nouveaux paquetages sont disponibles :
  Ubuntu 14.04 LTS : libssl1.0.0 1.0.1f-1ubuntu2.4
  Ubuntu 13.10 : libssl1.0.0 1.0.1e-3ubuntu1.6
  Ubuntu 12.04 LTS : libssl1.0.0 1.0.1-4ubuntu5.16
  Ubuntu 10.04 LTS : libssl0.9.8 0.9.8k-7ubuntu8.21

VMware : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

WebSphere MQ : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.
Bulletin Vigil@nce complet... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des bulletins de vulnérabilité de système. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.