L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilité de OpenSSL : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de OpenSSL.
Gravité de cette alerte : 2/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 01/03/2016.
Références de cette alerte : 046178, 046208, 1979498, 9010067, BSA-2016-004, bulletinapr2016, bulletinjan2016, CERTFR-2016-AVI-076, CERTFR-2016-AVI-080, cisco-sa-20160302-openssl, CVE-2016-0703, CVE-2016-0704, FreeBSD-SA-16:12.openssl, HPESBHF03741, JSA10759, NTAP-20160303-0001, openSUSE-SU-2016:0627-1, openSUSE-SU-2016:0628-1, openSUSE-SU-2016:0638-1, openSUSE-SU-2016:0720-1, PAN-SA-2016-0030, RHSA-2016:0372-01, SA117, SA40168, SOL95463126, SUSE-SU-2016:0617-1, SUSE-SU-2016:0620-1, SUSE-SU-2016:0621-1, SUSE-SU-2016:0624-1, SUSE-SU-2016:0631-1, SUSE-SU-2016:0641-1, SUSE-SU-2016:0678-1, TNS-2016-03, VIGILANCE-VUL-19061.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans OpenSSL.

Le fichier 2_srvr.c ne vérifie pas que la clear-key-length est nulle pour les algorithmes non-EXPORT, donc un attaquant peut se positionner en Man-in-the-Middle sur SSLv2, afin de lire ou modifier des données de la session. [grav:2/4; CVE-2016-0703]

Le fichier 2_srvr.c écrase certains octets pour la protection Bleichenbacher, donc un attaquant peut se positionner en Man-in-the-Middle sur SSLv2, afin de lire ou modifier des données de la session. [grav:2/4; CVE-2016-0704]
Bulletin Vigil@nce complet... (Essai gratuit)

Cette alerte de menace informatique concerne les logiciels ou systèmes comme Blue Coat CAS, ProxyAV, ProxySG par Blue Coat, Brocade Network Advisor, Brocade vTM, Cisco ASR, Cisco ATA, Cisco AnyConnect Secure Mobility Client, Cisco ACE, ASA, IOS par Cisco, IOS XE Cisco, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Prime Collaboration Manager, Prime Infrastructure, Cisco Prime LMS, Cisco PRSM, Cisco CUCM, Cisco Unified CCX, Cisco IP Phone, Cisco MeetingPlace, Cisco Wireless IP Phone, Cisco WSA, Cisco Wireless Controller, BIG-IP Hardware, TMOS, FreeBSD, HP Switch, IRAD, Juniper J-Series, Junos OS, Junos Space, Juniper Network Connect, NSM Central Manager, NSMXpress, Data ONTAP 7-Mode, NetScreen Firewall, ScreenOS, OpenSSL, openSUSE, openSUSE Leap, Solaris, Palo Alto Firewall PA***, PAN-OS, Pulse Connect Secure, Pulse Secure Client, Pulse Secure SBR, RHEL, SUSE Linux Enterprise Desktop, SLES, Nessus, VxWorks.

Notre équipe Vigil@nce a déterminé que la gravité de cette faille est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 2 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter ce bulletin de vulnérabilité informatique.

Solutions pour cette menace

OpenSSL : version 1.0.2a.
La version 1.0.2a est corrigée :
  https://www.openssl.org/

OpenSSL : version 1.0.1m.
La version 1.0.1m est corrigée :
  https://www.openssl.org/

OpenSSL : version 1.0.0r.
La version 1.0.0r est corrigée :
  https://www.openssl.org/

OpenSSL : version 0.9.8zf.
La version 0.9.8zf est corrigée :
  https://www.openssl.org/

Blue Coat : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Brocade : solution pour multiples vulnérabilités (04/04/2016).
Les versions suivantes corrigent plusieurs vulnérabilités (mais pas CVE-2016-0705) :
  Brocade Network Advisor : installer version 12.4.2 ou 14.0.1.
  Brocade vTM : installer version 9.9r1 ou 10.3r1.
La solution détaillée est indiquée dans les sources d'information.

Cisco : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Copssh : version 5.5.1.
La version 5.5.1 est corrigée :
  https://www.itefix.net/copssh

F5 BIG-IP : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

FreeBSD : patch pour OpenSSL.
Un patch est disponible :
  https://security.FreeBSD.org/patches/SA-16:12/openssl-9.3.patch.xz
  https://security.FreeBSD.org/patches/SA-16:12/openssl-9.3-fix.patch
  https://security.FreeBSD.org/patches/SA-16:12/openssl-10.1.patch.xz
  https://security.FreeBSD.org/patches/SA-16:12/openssl-10.2.patch

HP Switch, Comware : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

IBM Rational Application Developer for WebSphere Software : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information.

Juniper : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Nessus : version 6.5.6.
La version 6.5.6 est corrigée :
  https://support.tenable.com/support-center/index.php?x=&mod_id=200

NetApp Data ONTAP : patch pour OpenSSL (30/03/2016).
Un patch est disponible :
  Data ONTAP operating in 7-Mode : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=991514

openSUSE 13.1 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : openssl 1.0.1k-11.84.1

openSUSE Leap 42.1 : nouveaux paquetages compat-openssl098.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : compat-openssl098 0.9.8j-9.1

openSUSE : nouveaux paquetages openssl (02/03/2016).
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : openssl 1.0.1k-2.33.1
  openSUSE Leap 42.1 : openssl 1.0.1i-12.1

PAN-OS : versions 6.0.15 et 6.1.12.
Les versions 6.0.15 et 6.1.12 sont corrigées :
  https://www.paloaltonetworks.com/

Pulse Secure Connect Secure : versions corrigées pour OpenSSL.
Ce bulletin est un doublon de VIGILANCE-SOL-45345.

Pulse Secure : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

RHEL : nouveaux paquetages openssl098e.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl098e 0.9.8e-20.el6_7.1
  RHEL 7 : openssl098e 0.9.8e-29.el7_2.3

Solaris : patch pour logiciels tiers 04/2016.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Solaris : patch pour Third Party 03/2016.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

SUSE LE 10 SP4 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 SP4 : openssl 0.9.8a-18.94.2

SUSE LE 11 SP4 : nouveaux paquetages compat-openssl097g.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP4 : compat-openssl097g 0.9.7g-146.22.41.1

SUSE LE 12 : nouveaux paquetages libopenssl0_9_8.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : libopenssl0_9_8 0.9.8j-94.1
  SUSE LE 12 SP1 : libopenssl0_9_8 0.9.8j-94.1

SUSE LE : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 RTM : openssl1 1.0.1g-0.40.1
  SUSE LE 11 SP2 : openssl 0.9.8j-0.89.1
  SUSE LE 11 SP3 : openssl 0.9.8j-0.89.1
  SUSE LE 11 SP4 : openssl 0.9.8j-0.89.1
  SUSE LE 12 RTM : openssl 1.0.1i-27.13.1
  SUSE LE 12 SP1 : openssl 1.0.1i-44.1

Wind River Linux : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Wind River VxWorks : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des alertes de vulnérabilité informatique. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.