L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilité de OpenSSL : obtention d'information via ECC Scalar Multiplication

Synthèse de la vulnérabilité

Sur un processeur Intel (VIGILANCE-VUL-27667), un attaquant peut mesurer le temps d'exécution de la multiplication scalaire ECC de OpenSSL, afin de retrouver la clé utilisée.
Gravité de cette vulnérabilité informatique : 1/4.
Date création : 12/11/2018.
Références de cette annonce : bulletinjan2019, CERTFR-2018-AVI-607, CERTFR-2019-AVI-242, cpuapr2019, cpujan2019, cpujul2019, CVE-2018-5407, DLA-1586-1, DSA-4348-1, DSA-4355-1, ibm10794537, ibm10875298, ibm10886313, K49711130, openSUSE-SU-2018:3903-1, openSUSE-SU-2018:4050-1, openSUSE-SU-2018:4104-1, openSUSE-SU-2019:0088-1, openSUSE-SU-2019:0234-1, RHSA-2019:0483-01, RHSA-2019:2125-01, SSA:2018-325-01, SUSE-SU-2018:3864-1, SUSE-SU-2018:3864-2, SUSE-SU-2018:3866-1, SUSE-SU-2018:3964-1, SUSE-SU-2018:3989-1, SUSE-SU-2018:4001-1, SUSE-SU-2018:4068-1, SUSE-SU-2018:4274-1, SUSE-SU-2019:0117-1, SUSE-SU-2019:0395-1, SUSE-SU-2019:1553-1, SYMSA1490, TNS-2018-16, TNS-2018-17, USN-3840-1, VIGILANCE-VUL-27760.

Description de la vulnérabilité

Sur un processeur Intel (VIGILANCE-VUL-27667), un attaquant peut mesurer le temps d'exécution de la multiplication scalaire ECC de OpenSSL, afin de retrouver la clé utilisée.
Bulletin Vigil@nce complet... (Essai gratuit)

Ce bulletin de faille concerne les logiciels ou systèmes comme Blue Coat CAS, Debian, BIG-IP Hardware, TMOS, AIX, IRAD, Rational ClearCase, QRadar SIEM, MariaDB ~ précis, MySQL Community, MySQL Enterprise, OpenBSD, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle Identity Management, Solaris, Tuxedo, WebLogic, Percona Server, XtraBackup, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, WinSCP.

Notre équipe Vigil@nce a déterminé que la gravité de cet avis cybersécurité est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de shell utilisateur.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce de faille.

Solutions pour cette menace

OpenSSL : version 1.1.0i.
La version 1.1.0i est corrigée :
  https://www.openssl.org/source/

OpenSSL : version 1.0.2q.
La version 1.0.2q est corrigée :
  https://www.openssl.org/source/
  ftp://ftp.openssl.org/source/

AIX : patch pour OpenSSL.
Un patch est disponible :
  https://aix.software.ibm.com/aix/efixes/security/openssl_fix29.tar

Cloud Foundry : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

Debian 8 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 8 : openssl 1.0.1t-1+deb8u10

Debian 9 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 9 : openssl 1.1.0j-1~deb9u1

Debian 9 : nouveaux paquetages openssl1.0.
De nouveaux paquetages sont disponibles :
  Debian 9 : openssl1.0 1.0.2q-1~deb9u1

F5 BIG-IP : solution pour PortSmash.
La solution est indiquée dans les sources d'information.

IBM QRadar SIEM : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information.

IBM Rational Application Developer for WebSphere : solution pour Node.js.
La solution est indiquée dans les sources d'information.

IBM Rational ClearCase : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information.

MariaDB : version 5.5.63.
La version 5.5.63 est corrigée :
  https://mariadb.com/downloads/

MySQL : version 5.6.44.
La version 5.6.44 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2522850.1
  https://www.mysql.com/fr/

MySQL : version 5.7.26.
La version 5.7.26 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2522850.1
  https://www.mysql.com/fr/

MySQL : version 8.0.16.
La version 8.0.16 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2522850.1
  https://www.mysql.com/fr/

Nessus : version 7.1.4.
La version 7.1.4 est corrigée :
  https://www.tenable.com/

Nessus : version 8.1.1.
La version 8.1.1 est corrigée :
  https://www.tenable.com/

OpenBSD : patch pour OpenSSL DSA/ECDSA.
Un patch est disponible :
  https://ftp.openbsd.org/pub/OpenBSD/patches/6.3/common/022_blinding.patch.sig

openSUSE Leap 15.0 : nouveaux paquetages openssl-1_0_0.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.0 : openssl-1_0_0 1.0.2p-lp150.2.9.1

openSUSE Leap 42.3 : nouveaux paquetages compat-openssl098.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : compat-openssl098 0.9.8j-27.1

openSUSE Leap 42.3 : nouveaux paquetages nodejs4.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : nodejs4 4.9.1-20.1

openSUSE Leap 42.3 : nouveaux paquetages nodejs6.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : nodejs6 6.16.0-18.1

openSUSE Leap 42.3 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : openssl 1.0.2j-32.1

Oracle Communications : CPU de juillet 2019.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2559239.1
  https://support.oracle.com/rs?type=doc&id=2563691.1
  https://support.oracle.com/rs?type=doc&id=2559240.1
  https://support.oracle.com/rs?type=doc&id=2559722.1
  https://support.oracle.com/rs?type=doc&id=2559225.1
  https://support.oracle.com/rs?type=doc&id=2559721.1
  https://support.oracle.com/rs?type=doc&id=2559256.1
  https://support.oracle.com/rs?type=doc&id=2559242.1
  https://support.oracle.com/rs?type=doc&id=2559243.1
  https://support.oracle.com/rs?type=doc&id=2559648.1

Oracle Fusion Middleware : CPU de avril 2019.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2498664.1

Oracle Fusion Middleware : CPU de juillet 2019.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2534806.1

Oracle MySQL : version 5.6.43.
La version 5.6.43 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2487644.1
  https://www.mysql.com/fr/

Oracle MySQL : version 5.7.25.
La version 5.7.25 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2487644.1
  https://www.mysql.com/fr/

Oracle MySQL : version 8.0.14.
La version 8.0.14 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2487644.1
  https://www.mysql.com/fr/

Oracle Solaris : patch pour logiciels tiers de janvier 2019 v1.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Percona Server for MySQL : version 5.7.25-28.
La version 5.7.25-28 est corrigée :
  https://www.percona.com/

Percona Server : version 5.7.26-29.
La version 5.7.26-29 est corrigée :
  https://www.percona.com/

Percona XtraDB Cluster : version 5.7.26-31.37.
La version 5.7.26-31.37 est corrigée :
  https://www.percona.com/

RHEL 7.6 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 7 : openssl 1.0.2k-16.el7_6.1

RHEL 7 : nouveaux paquetages ovmf.
De nouveaux paquetages sont disponibles :
  RHEL 7 : ovmf 20180508-6.gitee3198e672e2.el7

Slackware : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Slackware 14.0 : openssl 1.0.1u-*-1_slack14.0
  Slackware 14.1 : openssl 1.0.1u-*-1_slack14.1
  Slackware 14.2 : openssl 1.0.2q-*-1_slack14.2

SUSE LE 11 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : openssl 0.9.8j-0.106.18.1
  SUSE LE 11 SP4 : openssl 0.9.8j-0.106.18.1

SUSE LE 11 SP3 : nouveaux paquetages openssl1.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : openssl1 1.0.1g-0.58.15.1

SUSE LE 12 : nouveaux paquetages nodejs4.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM-SP4 : nodejs4 4.9.1-15.17.1

SUSE LE 12 : nouveaux paquetages nodejs6.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM-SP4 : nodejs6 6.16.0-11.21.1

SUSE LE 12 RTM : nouveaux paquetages openssl (19/06/2019).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : openssl 1.0.1i-27.34.1

SUSE LE 12 SP1 : nouveaux paquetages openssl (23/11/2018).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : openssl 1.0.1i-54.20.1

SUSE LE 12 SP2/3 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP2 : openssl 1.0.2j-60.46.1
  SUSE LE 12 SP3 : openssl 1.0.2j-60.46.1

SUSE LE 12 SP3/4 : nouveaux paquetages compat-openssl098.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP3 : compat-openssl098 0.9.8j-106.9.1
  SUSE LE 12 SP4 : compat-openssl098 0.9.8j-106.9.1

SUSE LE 12 SP4 : nouveaux paquetages openssl-1_0_0.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP4 : openssl-1_0_0 1.0.2p-3.3.1

SUSE LE 15 : nouveaux paquetages openssl-1_0_0.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 RTM : openssl-1_0_0 1.0.2p-3.11.1

Synology DSM : version 6.2.2-24922.
La version 6.2.2-24922 est corrigée.

Synology DS/RS : version 6.2.2-24922.
La version 6.2.2-24922 est corrigée :
  https://www.synology.com/

Ubuntu : nouveaux paquetages libssl.
De nouveaux paquetages sont disponibles :
  Ubuntu 18.10 : libssl1.0.0 1.0.2n-1ubuntu6.1, libssl1.1 1.1.1-1ubuntu2.1
  Ubuntu 18.04 LTS : libssl1.0.0 1.0.2n-1ubuntu5.2, libssl1.1 1.1.0g-2ubuntu4.3
  Ubuntu 16.04 LTS : libssl1.0.0 1.0.2g-1ubuntu4.14
  Ubuntu 14.04 LTS : libssl1.0.0 1.0.1f-1ubuntu2.27

WinSCP : version 5.13.5.
La version 5.13.5 est corrigée :
  https://winscp.net/
  https://sourceforge.net/projects/winscp/
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une veille cybersécurité. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.