L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de OpenSSL : multiples vulnérabilités

Synthèse de la vulnérabilité 

Un attaquant peut employer plusieurs vulnérabilités de OpenSSL.
Logiciels impactés : ArubaOS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, FabricOS, Brocade Network Advisor, Cisco ATA, AnyConnect VPN Client, Cisco ACE, ASA, AsyncOS, Cisco ESA, IOS par Cisco, IronPort Email, IronPort Web, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Prime LMS, Prime Network Control Systems, Cisco PRSM, Cisco Router, Cisco IP Phone, Cisco MeetingPlace, Cisco WSA, Clearswift Email Gateway, Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP-UX, AIX, DB2 UDB, Domino, Notes, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere AS Traditional, Juniper J-Series, Junos OS, Junos Space, Junos Space Network Management Platform, NSM Central Manager, NSMXpress, Juniper SBR, McAfee Email Gateway, McAfee Web Gateway, Data ONTAP 7-Mode, NetBSD, NetScreen Firewall, ScreenOS, Nodejs Core, OpenSSL, openSUSE, openSUSE Leap, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Solaris, Tuxedo, WebLogic, pfSense, Puppet, RHEL, Base SAS Software, SAS SAS/CONNECT, Slackware, Splunk Enterprise, stunnel, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité de cette vulnérabilité informatique : 2/4.
Nombre de vulnérabilités dans ce bulletin : 7.
Date de création : 08/01/2015.
Références de cette annonce : 1610582, 1699810, 1700997, 1902260, 1903541, 1973383, 55767, 9010028, ARUBA-PSA-2015-003, bulletinjan2015, c04556853, c04679334, CERTFR-2015-AVI-008, CERTFR-2015-AVI-108, CERTFR-2015-AVI-146, CERTFR-2016-AVI-303, cisco-sa-20150310-ssl, cpuapr2017, cpujul2018, cpuoct2016, cpuoct2017, CTX216642, CVE-2014-3570, CVE-2014-3571, CVE-2014-3572, CVE-2014-8275, CVE-2015-0204, CVE-2015-0205, CVE-2015-0206, DSA-3125-1, FEDORA-2015-0512, FEDORA-2015-0601, FreeBSD-SA-15:01.openssl, HPSBUX03244, HPSBUX03334, JSA10679, MDVSA-2015:019, MDVSA-2015:062, MDVSA-2015:063, NetBSD-SA2015-006, NetBSD-SA2015-007, NTAP-20150205-0001, openSUSE-SU-2015:0130-1, openSUSE-SU-2015:1277-1, openSUSE-SU-2016:0640-1, RHSA-2015:0066-01, RHSA-2015:0800-01, SA40015, SA88, SB10108, SOL16120, SOL16123, SOL16124, SOL16126, SOL16135, SOL16136, SOL16139, SP-CAAANXD, SPL-95203, SPL-95206, SSA:2015-009-01, SSRT101885, SSRT102000, SUSE-SU-2015:1138-1, SUSE-SU-2015:1161-1, USN-2459-1, VIGILANCE-VUL-15934, VU#243585.

Description de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans OpenSSL.

Un attaquant peut envoyer un message DTLS, pour forcer le déréférencement d'un pointeur NULL dans dtls1_get_record(), afin de mener un déni de service. [grav:2/4; CVE-2014-3571]

Un attaquant peut envoyer un message DTLS, pour provoquer une fuite mémoire dans dtls1_buffer_record(), afin de mener un déni de service. [grav:1/4; CVE-2015-0206]

Un attaquant peut forcer un client TLS à utiliser ECDH au lieu de ECDHE (ephemeral). [grav:2/4; CVE-2014-3572]

Un attaquant peut forcer un client TLS à utiliser EXPORT_RSA au lieu de RSA (VIGILANCE-VUL-16301). [grav:2/4; CVE-2015-0204, VU#243585]

Un attaquant peut s'authentifier sans utiliser de clé privé, dans le cas où le serveur fait confiance à une autorité de certification qui publie des certificats avec des clés DH (cas rare) (VIGILANCE-VUL-16300). [grav:2/4; CVE-2015-0205]

Un attaquant peut changer l'empreinte d'un certificat, sans conséquence connue sur la sécurité. [grav:1/4; CVE-2014-8275]

Dans certains cas peu probables, la fonction BN_sqr() fournit un résultat incorrect, sans conséquence connue sur la sécurité. [grav:1/4; CVE-2014-3570]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette annonce de menace concerne les logiciels ou systèmes comme ArubaOS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, FabricOS, Brocade Network Advisor, Cisco ATA, AnyConnect VPN Client, Cisco ACE, ASA, AsyncOS, Cisco ESA, IOS par Cisco, IronPort Email, IronPort Web, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Prime LMS, Prime Network Control Systems, Cisco PRSM, Cisco Router, Cisco IP Phone, Cisco MeetingPlace, Cisco WSA, Clearswift Email Gateway, Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP-UX, AIX, DB2 UDB, Domino, Notes, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere AS Traditional, Juniper J-Series, Junos OS, Junos Space, Junos Space Network Management Platform, NSM Central Manager, NSMXpress, Juniper SBR, McAfee Email Gateway, McAfee Web Gateway, Data ONTAP 7-Mode, NetBSD, NetScreen Firewall, ScreenOS, Nodejs Core, OpenSSL, openSUSE, openSUSE Leap, Oracle Communications, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Solaris, Tuxedo, WebLogic, pfSense, Puppet, RHEL, Base SAS Software, SAS SAS/CONNECT, Slackware, Splunk Enterprise, stunnel, SUSE Linux Enterprise Desktop, SLES, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette faille cyber-sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 7 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte de vulnérabilité.

Solutions pour cette menace 

OpenSSL : version 1.0.1k.
La version 1.0.1k est corrigée :
  https://www.openssl.org/source/

OpenSSL : version 1.0.0p.
La version 1.0.0p est corrigée :
  https://www.openssl.org/source/

OpenSSL : version 0.9.8zd.
La version 0.9.8zd est corrigée :
  https://www.openssl.org/source/

AIX : patch pour OpenSSL.
Un patch est disponible :
  ftp://aix.software.ibm.com/aix/efixes/security/openssl_fix12.tar

ArubaOS : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Blue Coat : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Brocade : solution pour OpenSSL (30/03/2015).
La solution est indiquée dans les sources d'information.

Cisco : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Citrix NetScaler Platform IPMI LOM : solution.
La solution est indiquée dans les sources d'information.

Citrix NetScaler : versions corrigées pour LOM Firmware.
Les versions corrigées sont indiquées dans les sources d'information.

Clearswift SECURE Email Gateway : version 3.8.5.
La version 3.8.5 est corrigée :
  http://app-patches.clearswift.net/Patches/Patch3_8_5.htm

Debian : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 7 : openssl 1.0.1e-2+deb7u14

F5 BIG-IP : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

Fedora : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Fedora 20 : openssl 1.0.1e-41.fc20
  Fedora 21 : openssl 1.0.1k-1.fc21

FreeBSD : patch pour OpenSSL.
Un patch est disponible :
  https://security.FreeBSD.org/patches/SA-15:01/openssl-9.3.patch
  https://security.FreeBSD.org/patches/SA-15:01/openssl-10.0.patch
  https://security.FreeBSD.org/patches/SA-15:01/openssl-10.1.patch

HP-UX : OpenSSL version A.00.09.08zf.
La version OpenSSL A.00.09.08zf est corrigée :
  https://h20392.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=OPENSSL11I

HP-UX : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

IBM AIX : patch pour Java.
L'annonce indique les URLs du patch applicable pour chaque version du SDK.

IBM DB2 : version 10.1 Fix Pack 6.
La version 10.1 Fix Pack 6 est corrigée.

IBM Notes, Domino : patch pour Java 6.
Un patch est disponible :
  version 9.0.1.x : http://www-01.ibm.com/support/docview.wss?uid=swg21657963
  version 8.5.3 : http://www-01.ibm.com/support/docview.wss?uid=swg21663874

IBM Tivoli Storage Manager : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information.

IBM Tivoli Workload Scheduler : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Juniper : versions corrigées pour OpenSSL-08/01/2015.
Les versions corrigées sont indiquées dans les sources d'information.

Mandriva BS1 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : openssl 1.0.0r-1.mbs1

Mandriva BS2 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Mandriva BS2 : openssl 1.0.1m-1.mbs2

Mandriva : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : openssl 1.0.0p-1.mbs1

McAfee : solution pour OpenSSL FREAK.
La solution est indiquée dans les sources d'information.

NetApp : solution pour OpenSSL 01/2015.
La solution est indiquée dans les sources d'information.

NetBSD : patch pour OpenSSL (20/03/2015).
Un patch est disponible dans les sources d'information.

NetBSD : patch pour OpenSSL (20/08/2015).
Un patch est disponible dans les sources d'information.

Node.js : version 0.10.36.
La version 0.10.36 est corrigée :
  http://nodejs.org/download/

openSUSE 13.2 : nouveaux paquetages libressl.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : libressl 2.2.1-2.3.1

openSUSE : nouveaux paquetages libopenssl0_9_8.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : libopenssl0_9_8 0.9.8zh-9.3.1
  openSUSE Leap 42.1 : libopenssl0_9_8 0.9.8zh-14.1

openSUSE : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : openssl 1.0.1k-11.64.2
  openSUSE 13.2 : openssl 1.0.1k-2.16.2

Oracle Communications : CPU de avril 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2247453.1
  https://support.oracle.com/rs?type=doc&id=2248470.1
  https://support.oracle.com/rs?type=doc&id=2251718.1
  https://support.oracle.com/rs?type=doc&id=2245233.1
  https://support.oracle.com/rs?type=doc&id=2248526.1
  https://support.oracle.com/rs?type=doc&id=2250567.1

Oracle Communications : CPU de octobre 2016.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2188694.1

Oracle Communications : CPU de octobre 2017.
Un Critical Patch Update est disponible.

Oracle Fusion Middleware : CPU de juillet 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2394520.1

pfSense : version 2.2.
La version 2.2 est corrigée :
  https://www.pfsense.org/

Puppet Enterprise : version 3.7.2.
La version 3.7.2 est corrigée :
  http://puppetlabs.com/

RHEL 5 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 5 : openssl 0.9.8e-33.el5_11

RHEL 6, 7 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl 1.0.1e-30.el6_6.5
  RHEL 7 : openssl 1.0.1e-34.el7_0.7

SAS : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Slackware : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Slackware 13.0 : openssl 0.9.8zd-*-1_slack13.0
  Slackware 13.1 : openssl 0.9.8zd-*-1_slack13.1
  Slackware 13.37 : openssl 0.9.8zd-*-1_slack13.37
  Slackware 14.0 : openssl 1.0.1k-*-1_slack14.0
  Slackware 14.1 : openssl 1.0.1k-*-1_slack14.1

Snare Enterprise Agent for Windows : version 4.2.9.
La version 4.2.9 est corrigée :
  https://snaresupport.intersectalliance.com/

Solaris : patch pour Third Party.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Splunk Enterprise : version 5.0.12.
La version 5.0.12 est corrigée :
  http://www.splunk.com/

Splunk Enterprise : version 6.0.8.
La version 6.0.8 est corrigée :
  http://www.splunk.com/

Splunk Enterprise : version 6.1.7.
La version 6.1.7 est corrigée :
  http://www.splunk.com/

Splunk Enterprise : version 6.2.2.
La version 6.2.2 est corrigée :
  http://www.splunk.com/

stunnel : version 5.10.
La version 5.10 est corrigée :
  https://www.stunnel.org/downloads.html

SUSE LE 10 : nouveaux paquetages IBM Java.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : java-1_6_0-ibm 1.6.0_sr16.4-0.8.1

SUSE LE 12 : nouveaux paquetages java-1_6_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 : java-1_6_0-ibm 1.6.0_sr16.4-15.1

Ubuntu : nouveaux paquetages libssl.
De nouveaux paquetages sont disponibles :
  Ubuntu 14.10 : libssl1.0.0 1.0.1f-1ubuntu9.1
  Ubuntu 14.04 LTS : libssl1.0.0 1.0.1f-1ubuntu2.8
  Ubuntu 12.04 LTS : libssl1.0.0 1.0.1-4ubuntu5.21
  Ubuntu 10.04 LTS : libssl0.9.8 0.9.8k-7ubuntu8.23

WebSphere AS : patch pour Java.
Plusieurs patchs sont disponibles dans les sources d'information, à choisir selon la version de WebSphere AS.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un patch de vulnérabilité de logiciel. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.