L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de OpenSSL : obtention d'information via DSA Signature Generation

Synthèse de la vulnérabilité 

Un attaquant peut contourner les restrictions d'accès aux données via DSA Signature Generation de OpenSSL, afin d'obtenir des informations sensibles.
Logiciels impactés : Debian, Unisphere EMC, VNX Operating Environment, VNX Series, Fedora, AIX, IRAD, Rational ClearCase, QRadar SIEM, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Nodejs Core, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle Identity Management, Solaris, Tuxedo, WebLogic, Percona Server, XtraBackup, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, WinSCP, X2GoClient.
Gravité de cette vulnérabilité informatique : 1/4.
Date de création : 30/10/2018.
Références de cette annonce : 1170322, bulletinapr2019, bulletinjan2019, CERTFR-2018-AVI-607, cpuapr2019, cpujan2019, cpujan2020, cpujul2019, CVE-2018-0734, DSA-2019-197, DSA-2020-030, DSA-2020-062, DSA-4348-1, DSA-4355-1, FEDORA-2019-00c25b9379, ibm10794537, ibm10875298, openSUSE-SU-2018:3890-1, openSUSE-SU-2018:3903-1, openSUSE-SU-2018:4050-1, openSUSE-SU-2018:4104-1, openSUSE-SU-2019:0084-1, openSUSE-SU-2019:0088-1, openSUSE-SU-2019:0138-1, openSUSE-SU-2019:0234-1, openSUSE-SU-2019:1547-1, openSUSE-SU-2019:1814-1, RHSA-2019:2304-01, RHSA-2019:3700-01, SSA:2018-325-01, SUSE-SU-2018:3863-1, SUSE-SU-2018:3864-1, SUSE-SU-2018:3864-2, SUSE-SU-2018:3866-1, SUSE-SU-2018:3964-1, SUSE-SU-2018:3989-1, SUSE-SU-2018:4001-1, SUSE-SU-2018:4068-1, SUSE-SU-2018:4274-1, SUSE-SU-2019:0117-1, SUSE-SU-2019:0395-1, SUSE-SU-2019:1553-1, TNS-2018-16, TNS-2018-17, USN-3840-1, VIGILANCE-VUL-27640.

Description de la vulnérabilité 

Un attaquant peut contourner les restrictions d'accès aux données via DSA Signature Generation de OpenSSL, afin d'obtenir des informations sensibles.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette annonce cybersécurité concerne les logiciels ou systèmes comme Debian, Unisphere EMC, VNX Operating Environment, VNX Series, Fedora, AIX, IRAD, Rational ClearCase, QRadar SIEM, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Nodejs Core, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle Identity Management, Solaris, Tuxedo, WebLogic, Percona Server, XtraBackup, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, WinSCP, X2GoClient.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte de menace est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de shell utilisateur.

Un attaquant avec un niveau de compétence expert peut exploiter cette faille cyber-sécurité.

Solutions pour cette menace 

OpenSSL : version 1.1.1a.
La version 1.1.1a est corrigée :
  https://www.openssl.org/source/
  ftp://ftp.openssl.org/source/

OpenSSL : version 1.1.0j.
La version 1.1.0j est corrigée :
  https://www.openssl.org/source/
  ftp://ftp.openssl.org/source/

OpenSSL : version 1.0.2q.
La version 1.0.2q est corrigée :
  https://www.openssl.org/source/
  ftp://ftp.openssl.org/source/

OpenSSL : patch pour DSA Signature Generation.
Un patch est indiqué dans les sources d'information.

AIX : patch pour OpenSSL.
Un patch est disponible :
  https://aix.software.ibm.com/aix/efixes/security/openssl_fix29.tar

Cloud Foundry : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

Debian 9 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 9 : openssl 1.1.0j-1~deb9u1

Debian 9 : nouveaux paquetages openssl1.0.
De nouveaux paquetages sont disponibles :
  Debian 9 : openssl1.0 1.0.2q-1~deb9u1

Dell EMC Unisphere for PowerMax : solution.
La solution est indiquée dans les sources d'information.

Dell EMC VNXe3200 : version 3.1.11.10003441.
La version 3.1.11.10003441 est corrigée :
  https://www.dell.com/support/

Dell EMC VNXe : version MR4 Service Pack 5.
La version MR4 Service Pack 5 est corrigée :
  https://www.dell.com/support/

Fedora 30 : nouveaux paquetages compat-openssl10.
De nouveaux paquetages sont disponibles :
  Fedora 30 : compat-openssl10 1.0.2o-7.fc30

IBM QRadar SIEM : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information.

IBM Rational Application Developer for WebSphere : solution pour Node.js.
La solution est indiquée dans les sources d'information.

IBM Rational ClearCase : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information.

MariaDB : version 5.5.63.
La version 5.5.63 est corrigée :
  https://mariadb.com/downloads/

MySQL : version 5.6.44.
La version 5.6.44 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2522850.1
  https://www.mysql.com/fr/

MySQL : version 5.7.26.
La version 5.7.26 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2522850.1
  https://www.mysql.com/fr/

MySQL : version 8.0.16.
La version 8.0.16 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2522850.1
  https://www.mysql.com/fr/

Nessus : version 7.1.4.
La version 7.1.4 est corrigée :
  https://www.tenable.com/

Nessus : version 8.1.1.
La version 8.1.1 est corrigée :
  https://www.tenable.com/

Node Core : version 10.16.0.
La version 10.16.0 est corrigée :
  https://nodejs.org/en/download/

openSUSE Leap 15.0 : nouveaux paquetages openssl-1_0_0.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.0 : openssl-1_0_0 1.0.2p-lp150.2.9.1

openSUSE Leap 15.0 : nouveaux paquetages openssl-1_1.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.0 : openssl-1_1 1.1.0i-lp150.3.15.1

openSUSE Leap 15.0 : nouveaux paquetages virtualbox.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.0 : virtualbox 5.2.24-lp150.4.33.1

openSUSE Leap 42.3 : nouveaux paquetages compat-openssl098.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : compat-openssl098 0.9.8j-27.1

openSUSE Leap 42.3 : nouveaux paquetages mysql-community-server.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : mysql-community-server 5.6.43-45.1

openSUSE Leap 42.3 : nouveaux paquetages nodejs4.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : nodejs4 4.9.1-20.1

openSUSE Leap 42.3 : nouveaux paquetages nodejs6.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : nodejs6 6.16.0-18.1

openSUSE Leap 42.3 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : openssl 1.0.2j-32.1

openSUSE Leap 42.3 : nouveaux paquetages virtualbox.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : virtualbox 5.2.24-66.1

openSUSE Leap : nouveaux paquetages virtualbox.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.0 : virtualbox 6.0.10-lp150.4.36.1
  openSUSE Leap 15.1 : virtualbox 6.0.10-lp151.2.6.1

Oracle Communications : CPU de avril 2019.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2518758.1
  https://support.oracle.com/rs?type=doc&id=2518763.1
  https://support.oracle.com/rs?type=doc&id=2522151.1
  https://support.oracle.com/rs?type=doc&id=2519787.1
  https://support.oracle.com/rs?type=doc&id=2522126.1
  https://support.oracle.com/rs?type=doc&id=2522123.1
  https://support.oracle.com/rs?type=doc&id=2518753.1
  https://support.oracle.com/rs?type=doc&id=2522121.1
  https://support.oracle.com/rs?type=doc&id=2528862.1
  https://support.oracle.com/rs?type=doc&id=2518754.1

Oracle Communications : CPU de janvier 2020.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2625594.1
  https://support.oracle.com/rs?type=doc&id=2626101.1
  https://support.oracle.com/rs?type=doc&id=2628576.1
  https://support.oracle.com/rs?type=doc&id=2626102.1
  https://support.oracle.com/rs?type=doc&id=2622427.1
  https://support.oracle.com/rs?type=doc&id=2595443.1
  https://support.oracle.com/rs?type=doc&id=2595442.1
  https://support.oracle.com/rs?type=doc&id=2617852.1
  https://support.oracle.com/rs?type=doc&id=2626103.1

Oracle Communications : CPU de juillet 2019.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2559239.1
  https://support.oracle.com/rs?type=doc&id=2563691.1
  https://support.oracle.com/rs?type=doc&id=2559240.1
  https://support.oracle.com/rs?type=doc&id=2559722.1
  https://support.oracle.com/rs?type=doc&id=2559225.1
  https://support.oracle.com/rs?type=doc&id=2559721.1
  https://support.oracle.com/rs?type=doc&id=2559256.1
  https://support.oracle.com/rs?type=doc&id=2559242.1
  https://support.oracle.com/rs?type=doc&id=2559243.1
  https://support.oracle.com/rs?type=doc&id=2559648.1

Oracle Fusion Middleware : CPU de avril 2019.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2498664.1

Oracle Fusion Middleware : CPU de juillet 2019.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2534806.1

Oracle MySQL : version 5.6.43.
La version 5.6.43 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2487644.1
  https://www.mysql.com/fr/

Oracle MySQL : version 5.7.25.
La version 5.7.25 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2487644.1
  https://www.mysql.com/fr/

Oracle MySQL : version 8.0.14.
La version 8.0.14 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2487644.1
  https://www.mysql.com/fr/

Oracle Solaris : patch pour logiciels tiers de avril 2019 v1.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Oracle Solaris : patch pour logiciels tiers de janvier 2019 v1.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Percona Server for MySQL : version 5.6.43-84.3.
La version 5.6.43-84.3 est corrigée :
  https://www.percona.com/

Percona Server for MySQL : version 5.7.25-28.
La version 5.7.25-28 est corrigée :
  https://www.percona.com/

Percona Server : version 5.7.26-29.
La version 5.7.26-29 est corrigée :
  https://www.percona.com/

Percona XtraDB Cluster : version 5.7.26-31.37.
La version 5.7.26-31.37 est corrigée :
  https://www.percona.com/

RHEL 7 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 7 : openssl 1.0.2k-19.el7

RHEL 8 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 8 : openssl 1.1.1c-2.el8

Slackware : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Slackware 14.0 : openssl 1.0.1u-*-1_slack14.0
  Slackware 14.1 : openssl 1.0.1u-*-1_slack14.1
  Slackware 14.2 : openssl 1.0.2q-*-1_slack14.2

SUSE LE 11 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : openssl 0.9.8j-0.106.18.1
  SUSE LE 11 SP4 : openssl 0.9.8j-0.106.18.1

SUSE LE 11 SP3 : nouveaux paquetages openssl1.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : openssl1 1.0.1g-0.58.15.1

SUSE LE 12 : nouveaux paquetages nodejs4.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM-SP4 : nodejs4 4.9.1-15.17.1

SUSE LE 12 : nouveaux paquetages nodejs6.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM-SP4 : nodejs6 6.16.0-11.21.1

SUSE LE 12 RTM : nouveaux paquetages openssl (19/06/2019).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : openssl 1.0.1i-27.34.1

SUSE LE 12 SP1 : nouveaux paquetages openssl (23/11/2018).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : openssl 1.0.1i-54.20.1

SUSE LE 12 SP2/3 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP2 : openssl 1.0.2j-60.46.1
  SUSE LE 12 SP3 : openssl 1.0.2j-60.46.1

SUSE LE 12 SP3/4 : nouveaux paquetages compat-openssl098.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP3 : compat-openssl098 0.9.8j-106.9.1
  SUSE LE 12 SP4 : compat-openssl098 0.9.8j-106.9.1

SUSE LE 12 SP4 : nouveaux paquetages openssl-1_0_0.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP4 : openssl-1_0_0 1.0.2p-3.3.1

SUSE LE 15 : nouveaux paquetages openssl-1_0_0.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 RTM : openssl-1_0_0 1.0.2p-3.11.1

SUSE LE 15 : nouveaux paquetages openssl-1_1.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 RTM : openssl-1_1 1.1.0i-4.15.1

Synology DSM : version 6.2.2-24922.
La version 6.2.2-24922 est corrigée.

Synology DS/RS : version 6.2.2-24922.
La version 6.2.2-24922 est corrigée :
  https://www.synology.com/

Ubuntu : nouveaux paquetages libssl.
De nouveaux paquetages sont disponibles :
  Ubuntu 18.10 : libssl1.0.0 1.0.2n-1ubuntu6.1, libssl1.1 1.1.1-1ubuntu2.1
  Ubuntu 18.04 LTS : libssl1.0.0 1.0.2n-1ubuntu5.2, libssl1.1 1.1.0g-2ubuntu4.3
  Ubuntu 16.04 LTS : libssl1.0.0 1.0.2g-1ubuntu4.14
  Ubuntu 14.04 LTS : libssl1.0.0 1.0.1f-1ubuntu2.27

Wind River Linux : solution (28/11/2018).
La solution est indiquée dans les sources d'information.

WinSCP : version 5.13.5.
La version 5.13.5 est corrigée :
  https://winscp.net/
  https://sourceforge.net/projects/winscp/

X2Go Client for Windows : version 4.1.2.2-2020.02.13.
La version 4.1.2.2-2020.02.13 est corrigée :
  http://wiki.x2go.org/doku.php/doc:release-notes-mswin:x2goclient-4.1.2.2
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des avis cybersécurité. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.