L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de OpenSSL : obtention d'information via ECC Scalar Multiplication

Synthèse de la vulnérabilité 

Sur un processeur Intel (VIGILANCE-VUL-27667), un attaquant peut mesurer le temps d'exécution de la multiplication scalaire ECC de OpenSSL, afin de retrouver la clé utilisée.
Logiciels impactés : Blue Coat CAS, Debian, VNX Operating Environment, VNX Series, BIG-IP Hardware, TMOS, AIX, IRAD, Rational ClearCase, QRadar SIEM, MariaDB ~ précis, MySQL Community, MySQL Enterprise, OpenBSD, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle Identity Management, Solaris, Tuxedo, WebLogic, Percona Server, XtraBackup, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, WinSCP, X2GoClient.
Gravité de cette vulnérabilité informatique : 1/4.
Date de création : 12/11/2018.
Références de cette annonce : bulletinjan2019, CERTFR-2018-AVI-607, CERTFR-2019-AVI-242, cpuapr2019, cpujan2019, cpujan2020, cpujul2019, CVE-2018-5407, DLA-1586-1, DSA-2019-197, DSA-2020-030, DSA-4348-1, DSA-4355-1, ibm10794537, ibm10875298, ibm10886313, K49711130, openSUSE-SU-2018:3903-1, openSUSE-SU-2018:4050-1, openSUSE-SU-2018:4104-1, openSUSE-SU-2019:0088-1, openSUSE-SU-2019:0234-1, RHSA-2019:0483-01, RHSA-2019:2125-01, SSA:2018-325-01, SUSE-SU-2018:3864-1, SUSE-SU-2018:3864-2, SUSE-SU-2018:3866-1, SUSE-SU-2018:3964-1, SUSE-SU-2018:3989-1, SUSE-SU-2018:4001-1, SUSE-SU-2018:4068-1, SUSE-SU-2018:4274-1, SUSE-SU-2019:0117-1, SUSE-SU-2019:0395-1, SUSE-SU-2019:1553-1, SYMSA1490, TNS-2018-16, TNS-2018-17, USN-3840-1, VIGILANCE-VUL-27760.

Description de la vulnérabilité 

Sur un processeur Intel (VIGILANCE-VUL-27667), un attaquant peut mesurer le temps d'exécution de la multiplication scalaire ECC de OpenSSL, afin de retrouver la clé utilisée.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin de faille concerne les logiciels ou systèmes comme Blue Coat CAS, Debian, VNX Operating Environment, VNX Series, BIG-IP Hardware, TMOS, AIX, IRAD, Rational ClearCase, QRadar SIEM, MariaDB ~ précis, MySQL Community, MySQL Enterprise, OpenBSD, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle Identity Management, Solaris, Tuxedo, WebLogic, Percona Server, XtraBackup, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, WinSCP, X2GoClient.

Notre équipe Vigil@nce a déterminé que la gravité de cet avis cybersécurité est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de shell utilisateur.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce de faille.

Solutions pour cette menace 

OpenSSL : version 1.1.0i.
La version 1.1.0i est corrigée :
  https://www.openssl.org/source/

OpenSSL : version 1.0.2q.
La version 1.0.2q est corrigée :
  https://www.openssl.org/source/
  ftp://ftp.openssl.org/source/

AIX : patch pour OpenSSL.
Un patch est disponible :
  https://aix.software.ibm.com/aix/efixes/security/openssl_fix29.tar

Cloud Foundry : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

Debian 8 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 8 : openssl 1.0.1t-1+deb8u10

Debian 9 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 9 : openssl 1.1.0j-1~deb9u1

Debian 9 : nouveaux paquetages openssl1.0.
De nouveaux paquetages sont disponibles :
  Debian 9 : openssl1.0 1.0.2q-1~deb9u1

Dell EMC VNXe3200 : version 3.1.11.10003441.
La version 3.1.11.10003441 est corrigée :
  https://www.dell.com/support/

Dell EMC VNXe : version MR4 Service Pack 5.
La version MR4 Service Pack 5 est corrigée :
  https://www.dell.com/support/

F5 BIG-IP : solution pour PortSmash.
La solution est indiquée dans les sources d'information.

IBM QRadar SIEM : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information.

IBM Rational Application Developer for WebSphere : solution pour Node.js.
La solution est indiquée dans les sources d'information.

IBM Rational ClearCase : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information.

MariaDB : version 5.5.63.
La version 5.5.63 est corrigée :
  https://mariadb.com/downloads/

MySQL : version 5.6.44.
La version 5.6.44 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2522850.1
  https://www.mysql.com/fr/

MySQL : version 5.7.26.
La version 5.7.26 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2522850.1
  https://www.mysql.com/fr/

MySQL : version 8.0.16.
La version 8.0.16 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2522850.1
  https://www.mysql.com/fr/

Nessus : version 7.1.4.
La version 7.1.4 est corrigée :
  https://www.tenable.com/

Nessus : version 8.1.1.
La version 8.1.1 est corrigée :
  https://www.tenable.com/

OpenBSD : patch pour OpenSSL DSA/ECDSA.
Un patch est disponible :
  https://ftp.openbsd.org/pub/OpenBSD/patches/6.3/common/022_blinding.patch.sig

openSUSE Leap 15.0 : nouveaux paquetages openssl-1_0_0.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.0 : openssl-1_0_0 1.0.2p-lp150.2.9.1

openSUSE Leap 42.3 : nouveaux paquetages compat-openssl098.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : compat-openssl098 0.9.8j-27.1

openSUSE Leap 42.3 : nouveaux paquetages nodejs4.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : nodejs4 4.9.1-20.1

openSUSE Leap 42.3 : nouveaux paquetages nodejs6.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : nodejs6 6.16.0-18.1

openSUSE Leap 42.3 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.3 : openssl 1.0.2j-32.1

Oracle Communications : CPU de janvier 2020.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2625594.1
  https://support.oracle.com/rs?type=doc&id=2626101.1
  https://support.oracle.com/rs?type=doc&id=2628576.1
  https://support.oracle.com/rs?type=doc&id=2626102.1
  https://support.oracle.com/rs?type=doc&id=2622427.1
  https://support.oracle.com/rs?type=doc&id=2595443.1
  https://support.oracle.com/rs?type=doc&id=2595442.1
  https://support.oracle.com/rs?type=doc&id=2617852.1
  https://support.oracle.com/rs?type=doc&id=2626103.1

Oracle Communications : CPU de juillet 2019.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2559239.1
  https://support.oracle.com/rs?type=doc&id=2563691.1
  https://support.oracle.com/rs?type=doc&id=2559240.1
  https://support.oracle.com/rs?type=doc&id=2559722.1
  https://support.oracle.com/rs?type=doc&id=2559225.1
  https://support.oracle.com/rs?type=doc&id=2559721.1
  https://support.oracle.com/rs?type=doc&id=2559256.1
  https://support.oracle.com/rs?type=doc&id=2559242.1
  https://support.oracle.com/rs?type=doc&id=2559243.1
  https://support.oracle.com/rs?type=doc&id=2559648.1

Oracle Fusion Middleware : CPU de avril 2019.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2498664.1

Oracle Fusion Middleware : CPU de juillet 2019.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2534806.1

Oracle MySQL : version 5.6.43.
La version 5.6.43 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2487644.1
  https://www.mysql.com/fr/

Oracle MySQL : version 5.7.25.
La version 5.7.25 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2487644.1
  https://www.mysql.com/fr/

Oracle MySQL : version 8.0.14.
La version 8.0.14 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2487644.1
  https://www.mysql.com/fr/

Oracle Solaris : patch pour logiciels tiers de janvier 2019 v1.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Percona Server for MySQL : version 5.7.25-28.
La version 5.7.25-28 est corrigée :
  https://www.percona.com/

Percona Server : version 5.7.26-29.
La version 5.7.26-29 est corrigée :
  https://www.percona.com/

Percona XtraDB Cluster : version 5.7.26-31.37.
La version 5.7.26-31.37 est corrigée :
  https://www.percona.com/

RHEL 7.6 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 7 : openssl 1.0.2k-16.el7_6.1

RHEL 7 : nouveaux paquetages ovmf.
De nouveaux paquetages sont disponibles :
  RHEL 7 : ovmf 20180508-6.gitee3198e672e2.el7

Slackware : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Slackware 14.0 : openssl 1.0.1u-*-1_slack14.0
  Slackware 14.1 : openssl 1.0.1u-*-1_slack14.1
  Slackware 14.2 : openssl 1.0.2q-*-1_slack14.2

SUSE LE 11 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : openssl 0.9.8j-0.106.18.1
  SUSE LE 11 SP4 : openssl 0.9.8j-0.106.18.1

SUSE LE 11 SP3 : nouveaux paquetages openssl1.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : openssl1 1.0.1g-0.58.15.1

SUSE LE 12 : nouveaux paquetages nodejs4.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM-SP4 : nodejs4 4.9.1-15.17.1

SUSE LE 12 : nouveaux paquetages nodejs6.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM-SP4 : nodejs6 6.16.0-11.21.1

SUSE LE 12 RTM : nouveaux paquetages openssl (19/06/2019).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : openssl 1.0.1i-27.34.1

SUSE LE 12 SP1 : nouveaux paquetages openssl (23/11/2018).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : openssl 1.0.1i-54.20.1

SUSE LE 12 SP2/3 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP2 : openssl 1.0.2j-60.46.1
  SUSE LE 12 SP3 : openssl 1.0.2j-60.46.1

SUSE LE 12 SP3/4 : nouveaux paquetages compat-openssl098.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP3 : compat-openssl098 0.9.8j-106.9.1
  SUSE LE 12 SP4 : compat-openssl098 0.9.8j-106.9.1

SUSE LE 12 SP4 : nouveaux paquetages openssl-1_0_0.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP4 : openssl-1_0_0 1.0.2p-3.3.1

SUSE LE 15 : nouveaux paquetages openssl-1_0_0.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 RTM : openssl-1_0_0 1.0.2p-3.11.1

Synology DSM : version 6.2.2-24922.
La version 6.2.2-24922 est corrigée.

Synology DS/RS : version 6.2.2-24922.
La version 6.2.2-24922 est corrigée :
  https://www.synology.com/

Ubuntu : nouveaux paquetages libssl.
De nouveaux paquetages sont disponibles :
  Ubuntu 18.10 : libssl1.0.0 1.0.2n-1ubuntu6.1, libssl1.1 1.1.1-1ubuntu2.1
  Ubuntu 18.04 LTS : libssl1.0.0 1.0.2n-1ubuntu5.2, libssl1.1 1.1.0g-2ubuntu4.3
  Ubuntu 16.04 LTS : libssl1.0.0 1.0.2g-1ubuntu4.14
  Ubuntu 14.04 LTS : libssl1.0.0 1.0.1f-1ubuntu2.27

WinSCP : version 5.13.5.
La version 5.13.5 est corrigée :
  https://winscp.net/
  https://sourceforge.net/projects/winscp/

X2Go Client for Windows : version 4.1.2.2-2020.02.13.
La version 4.1.2.2-2020.02.13 est corrigée :
  http://wiki.x2go.org/doku.php/doc:release-notes-mswin:x2goclient-4.1.2.2
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une veille cybersécurité. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.