L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilité de OpenSSL : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de OpenSSL.
Gravité de cette menace : 2/4.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 26/01/2017.
Références de cette faille : 1117414, 2000544, 2000988, 2000990, 2002331, 2004036, 2004940, 2009389, 2010154, 2011567, 2012827, 2014202, 2014651, 2014669, 2015080, BSA-2016-204, BSA-2016-207, BSA-2016-211, BSA-2016-212, BSA-2016-213, BSA-2016-216, BSA-2016-234, bulletinapr2017, bulletinjan2018, bulletinoct2017, CERTFR-2017-AVI-035, CERTFR-2018-AVI-343, cisco-sa-20170130-openssl, cpuapr2017, cpuapr2019, cpujan2018, cpujul2017, cpujul2018, cpuoct2017, CVE-2016-7055, CVE-2017-3730, CVE-2017-3731, CVE-2017-3732, DLA-814-1, DSA-3773-1, FEDORA-2017-3451dbec48, FEDORA-2017-e853b4144f, FG-IR-17-019, FreeBSD-SA-17:02.openssl, ibm10732391, ibm10733905, ibm10738249, ibm10738401, JSA10775, K37526132, K43570545, K44512851, K-510805, NTAP-20170127-0001, NTAP-20170310-0002, NTAP-20180201-0001, openSUSE-SU-2017:0481-1, openSUSE-SU-2017:0487-1, openSUSE-SU-2017:0527-1, openSUSE-SU-2017:0941-1, openSUSE-SU-2017:2011-1, openSUSE-SU-2017:2868-1, openSUSE-SU-2018:0458-1, PAN-70674, PAN-73914, PAN-SA-2017-0012, PAN-SA-2017-0014, PAN-SA-2017-0016, RHSA-2017:0286-01, RHSA-2018:2568-01, RHSA-2018:2575-01, SA141, SA40423, SB10188, SSA:2017-041-02, SUSE-SU-2018:0112-1, SUSE-SU-2018:2839-1, SUSE-SU-2018:3082-1, TNS-2017-03, USN-3181-1, VIGILANCE-VUL-21692.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans OpenSSL.

Un attaquant peut forcer la lecture à une adresse invalide via Truncated Packet, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:2/4; CVE-2017-3731]

Un attaquant peut forcer le déréférencement d'un pointeur NULL via DHE/ECDHE Parameters, afin de mener un déni de service. [grav:2/4; CVE-2017-3730]

Un attaquant peut utiliser une erreur propagation de la retenue dans BN_mod_exp(), afin de calculer la clé privée. [grav:1/4; CVE-2017-3732]

Une erreur se produit dans la Broadwell-specific Montgomery Multiplication Procedure, mais sans impact apparent. [grav:1/4; CVE-2016-7055]
Bulletin Vigil@nce complet... (Essai gratuit)

Cette annonce de faille concerne les logiciels ou systèmes comme Blue Coat CAS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, Brocade vTM, Cisco ASR, Cisco ATA, AsyncOS, Cisco Catalyst, Cisco Content SMA, Cisco ESA, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Router, Cisco CUCM, Cisco Manager Attendant Console, Cisco Wireless IP Phone, Cisco WSA, Cisco Wireless Controller, Debian, BIG-IP Hardware, TMOS, Fedora, FileZilla Server, FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiOS, FreeBSD, hMailServer, AIX, Domino, Notes, IRAD, Rational ClearCase, Security Directory Server, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, Junos OS, Juniper Network Connect, NSM Central Manager, NSMXpress, SRX-Series, MariaDB ~ précis, ePO, Meinberg NTP Server, MySQL Community, MySQL Enterprise, Data ONTAP 7-Mode, Nodejs Core, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Identity Management, Oracle iPlanet Web Server, Oracle OIT, Solaris, Tuxedo, VirtualBox, WebLogic, Oracle Web Tier, Palo Alto Firewall PA***, PAN-OS, Percona Server, pfSense, Pulse Connect Secure, Pulse Secure Client, RHEL, Slackware, stunnel, SUSE Linux Enterprise Desktop, SLES, Nessus, TrendMicro ServerProtect, Ubuntu, VxWorks, WinSCP.

Notre équipe Vigil@nce a déterminé que la gravité de cette menace cyber-sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 4 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce de vulnérabilité informatique.

Solutions pour cette menace

OpenSSL : version 1.1.0d.
La version 1.1.0d est corrigée :
  https://www.openssl.org/source/

OpenSSL : version 1.0.2k.
La version 1.0.2k est corrigée :
  https://www.openssl.org/source/

Blue Coat : solution pour OpenSSL.
ProxySG 6.7.1.2 et 6.5.10.4 sont corrigés.
Content Analysis 2.2.1.1 est corrigé.

Brocade Virtual Traffic Manager : version 17.1.
La version 17.1 est corrigée.

Brocade Virtual Traffic Manager : versions 10.4r1 et 9.9r2.
Les versions 10.4r1 et 9.9r2 sont corrigées.

Cisco : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Copssh : version 5.9.0.
La version 5.9.0 est corrigée :
  https://www.itefix.net/

Debian : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 7 : openssl 1.0.1t-1+deb7u2
  Debian 8 : openssl 1.0.1t-1+deb8u6

Elastic Kibana : version 5.2.1.
La version 5.2.1 est corrigée :
  https://www.elastic.co/downloads/kibana

F5 BIG-IP : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Fedora : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Fedora 24 : openssl 1.0.2k-1.fc24
  Fedora 25 : openssl 1.0.2k-1.fc25

FileZilla Server : version 0.9.60.
La version 0.9.60 est corrigée :
  https://filezilla-project.org/download.php?type=server

FortiOS, FortiAnalyzer : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

FreeBSD : patch pour OpenSSL.
Un patch est disponible :
  https://security.FreeBSD.org/patches/SA-17:02/openssl-11.patch
  https://security.FreeBSD.org/patches/SA-17:02/openssl-10.patch

hMailServer : version 5.6.7.
La version 5.6.7 est corrigée :
  https://www.hmailserver.com/download_getfile/?performdownload=1&downloadid=262

IBM AIX : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information par version de AIX :
  https://aix.software.ibm.com/aix/efixes/security/openssl_fix23.tar

IBM BigFix Remote Control : version 9.1.4.
La version 9.1.4 est corrigée :
  http://www-01.ibm.com/
Voir aussi le bulletin VIGILANCE-SOL-48754.

IBM Cognos Analytics : version 11.0.13.0.
La version 11.0.13.0 est corrigée :
  https://www-01.ibm.com/support/docview.wss?uid=ibm10718809

IBM Cognos Business Intelligence : solution.
La solution est indiquée dans les sources d'information.

IBM Cognos Business Intelligence : versions corrigées.
Les versions suivantes sont corrigées :
  Version 10.2.x : http://www.ibm.com/support/docview.wss?uid=swg24043664
  Version 10.1.1 : http://www.ibm.com/support/docview.wss?uid=swg24043663

IBM Domino, Notes : patch pour IBM Java.
Un patch est indiqué dans les sources d'information.

IBM MQ : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

IBM Rational Application Developer for WebSphere : solution pour Java.
La solution est indiquée dans les sources d'information.

IBM Rational Application Developer for WebSphere : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

IBM Rational ClearCase : solution pour GSKit.
La solution est indiquée dans les sources d'information.

IBM Security Directory Suite : version 8.0.1.4.
La version 8.0.1.4 est corrigée.

IBM Spectrum Protect : solution pour GSKit (03/04/2018).
La solution est indiquée dans les sources d'information.

IBM Spectrum Protect : solution pour GSKit (30/03/2018).
La solution est indiquée dans les sources d'information.

IBM Spectrum Protect : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

IBM Workload Scheduler : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information.

Junos OS, NSM : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

McAfee ePO : patch EPO5XHF1179774.
Un patch est disponible :
  http://www.mcafee.com/us/downloads/downloads.aspx

Meinberg NTP Server : version 4.2.8p10.
La version 4.2.8p10 est corrigée :
  https://www.meinbergglobal.com/download/ntp/windows/ntp-4.2.8p10-win32-setup.exe

MySQL : version 5.5.55.
La version 5.5.55 est corrigée.

MySQL : version 5.5.58.
La version 5.5.58 est corrigée :
  http://dev.mysql.com/downloads/mysql/
  http://mysql.com/products/enterprise/

MySQL : version 5.6.36.
La version 5.6.36 est corrigée.

MySQL : version 5.6.38.
La version 5.6.38 est corrigée :
  http://dev.mysql.com/downloads/mysql/
  http://mysql.com/products/enterprise/

MySQL : version 5.7.18.
La version 5.7.18 est corrigée.

MySQL : version 5.7.20.
La version 5.7.20 est corrigée :
  http://dev.mysql.com/downloads/mysql/
  http://mysql.com/products/enterprise/

NetApp Data ONTAP : version 8.2.5 (19/01/2018).
La version 8.2.5 est corrigée :
  http://mysupport.netapp.com/NOW/download/software/ontap/8.2.5/

Node.js Core : versions 7.5.0, 6.9.5 et 4.7.3.
Les versions 7.5.0, 6.9.5 et 4.7.3 sont corrigées.

openSUSE Leap 42.1 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : openssl 1.0.1i-21.1

openSUSE Leap 42.2 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.2 : openssl 1.0.2j-4.1

openSUSE Leap : nouveaux paquetages mysql-community-server (30/10/2017).
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.2 : mysql-community-server 5.6.38-24.12.1
  openSUSE Leap 42.3 : mysql-community-server 5.6.38-30.1

openSUSE Leap : nouveaux paquetages mysql-community-server (31/07/2017).
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.2 : mysql-community-server 5.6.37-24.9.1
  openSUSE Leap 42.3 : mysql-community-server 5.6.37-27.1

openSUSE Leap : nouveaux paquetages nodejs.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : nodejs 4.7.3-39.1
  openSUSE Leap 42.2 : nodejs4 4.7.3-5.3.1

openSUSE Leap : nouveaux paquetages openssl-steam.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : libopenssl1_0_0-steam 1.0.2k-4.3.1

Oracle Communications : CPU de avril 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2247453.1
  https://support.oracle.com/rs?type=doc&id=2248470.1
  https://support.oracle.com/rs?type=doc&id=2251718.1
  https://support.oracle.com/rs?type=doc&id=2245233.1
  https://support.oracle.com/rs?type=doc&id=2248526.1
  https://support.oracle.com/rs?type=doc&id=2250567.1

Oracle Communications : CPU de avril 2019.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2518758.1
  https://support.oracle.com/rs?type=doc&id=2518763.1
  https://support.oracle.com/rs?type=doc&id=2522151.1
  https://support.oracle.com/rs?type=doc&id=2519787.1
  https://support.oracle.com/rs?type=doc&id=2522126.1
  https://support.oracle.com/rs?type=doc&id=2522123.1
  https://support.oracle.com/rs?type=doc&id=2518753.1
  https://support.oracle.com/rs?type=doc&id=2522121.1
  https://support.oracle.com/rs?type=doc&id=2528862.1
  https://support.oracle.com/rs?type=doc&id=2518754.1

Oracle Communications : CPU de juillet 2017.
Un Critical Patch Update est disponible.

Oracle Communications : CPU de juillet 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2410237.1
  https://support.oracle.com/rs?type=doc&id=2406191.1
  https://support.oracle.com/rs?type=doc&id=2410234.1
  https://support.oracle.com/rs?type=doc&id=2408211.1
  https://support.oracle.com/rs?type=doc&id=2406689.1
  https://support.oracle.com/rs?type=doc&id=2408212.1
  https://support.oracle.com/rs?type=doc&id=2410243.1
  https://support.oracle.com/rs?type=doc&id=2410198.1

Oracle Communications : CPU de octobre 2017.
Un Critical Patch Update est disponible.

Oracle Fusion Middleware : CPU de janvier 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2325393.1

Oracle Fusion Middleware : CPU de juillet 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2261562.1

Oracle MySQL : version 5.5.57.
La version 5.5.57 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2279658.1

Oracle MySQL : version 5.6.37.
La version 5.6.37 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2279658.1

Oracle MySQL : version 5.7.19.
La version 5.7.19 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2279658.1

Oracle Solaris : patch pour logiciels tiers de avril 2017 v1.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Oracle Solaris : patch pour logiciels tiers de janvier 2018 v1.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Oracle Solaris : patch pour logiciels tiers de octobre 2017 v1.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Oracle VM VirtualBox : version 5.1.30.
La version 5.1.30 est corrigée :
  https://www.virtualbox.org/

Palo Alto PAN-OS : version 7.0.15.
La version 7.0.15 est corrigée :
  https://www.paloaltonetworks.com/

Palo Alto PAN-OS : version 7.1.10.
La version 7.1.10 est corrigée.

Palo Alto PAN-OS : version 8.0.2.
La version 8.0.2 est corrigée.

Percona Server for MySQL : version 5.7.20-19.
La version 5.7.20-19 est corrigée :
  https://www.percona.com/

pfSense : version 2.3.3-p1.
La version 2.3.3-p1 est corrigée :
  https://www.pfsense.org/download/

Pulse Secure : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

RHEL 6.10 : nouveaux paquetages java-1.8.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.8.0-ibm 1.8.0.5.20-1jpp.1.el6_10

RHEL 7 : nouveaux paquetages java-1.8.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 7 : java-1.8.0-ibm 1.8.0.5.20-1jpp.1.el7

RHEL : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl 1.0.1e-48.el6_8.4
  RHEL 7 : openssl 1.0.1e-60.el7_3.1

Slackware : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Slackware 14.2 : openssl 1.0.2k-*-1_slack14.2

stunnel : version 5.40.
La version 5.40 est corrigée :
  https://www.stunnel.org/downloads.html

SUSE LE 12 RTM : nouveaux paquetages openssl (17/01/2018).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : openssl 1.0.1i-27.28.1

SUSE LE 12 SP1-3 : nouveaux paquetages java-1_8_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : java-1_8_0-ibm 1.8.0_sr5.20-30.36.1
  SUSE LE 12 SP2 : java-1_8_0-ibm 1.8.0_sr5.20-30.36.1
  SUSE LE 12 SP3 : java-1_8_0-ibm 1.8.0_sr5.20-30.36.1

SUSE LE 15 : nouveaux paquetages java-1_8_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 RTM : java-1_8_0-ibm 1.8.0_sr5.20-3.6.2

Tenable Nessus : version 6.10.
La version 6.10 est corrigée.

Trend Micro ServerProtect : version 3.0.1531.
La version 3.0.1531 est corrigée :
  http://files.trendmicro.com/products/splx/product%20patch/splx_30_lx_en_criticalpatch1531.tar.gz

Ubuntu : nouveaux paquetages libssl1.0.0.
De nouveaux paquetages sont disponibles :
  Ubuntu 16.10 : libssl1.0.0 1.0.2g-1ubuntu9.1
  Ubuntu 16.04 LTS : libssl1.0.0 1.0.2g-1ubuntu4.6
  Ubuntu 14.04 LTS : libssl1.0.0 1.0.1f-1ubuntu2.22
  Ubuntu 12.04 LTS : libssl1.0.0 1.0.1-4ubuntu5.39

WebSphere AS : solution pour Edge Caching Proxy.
La solution est indiquée dans les sources d'information.

Wind River VxWorks : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

WinSCP : version 5.9.4.
La version 5.9.4 est corrigée :
  https://winscp.net/
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une contre-mesure de vulnérabilités informatiques. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.