L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de OpenSSL : obtention d'information via Heartbeat

Synthèse de la vulnérabilité 

Un attaquant peut employer le protocole Heartbeat sur une application compilée avec OpenSSL, afin d'obtenir des informations sensibles, comme des clés stockées en mémoire.
Systèmes vulnérables : Tomcat, ARCserve Backup, ArubaOS, i-Suite, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, ASA, Cisco Catalyst, IOS XE Cisco, Prime Infrastructure, Cisco PRSM, Cisco Router, Cisco CUCM, Cisco IP Phone, Unity Cisco, XenDesktop, Clearswift Email Gateway, Clearswift Web Gateway, Debian, ECC, PowerPath, ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server, Black Diamond, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, Fedora, FortiClient, FortiGate, FortiGate Virtual Appliance, FortiOS, FreeBSD, HP Diagnostics, LoadRunner, Performance Center, AIX, WebSphere MQ, IVE OS, Juniper J-Series, Junos OS, Junos Pulse, Juniper Network Connect, Juniper SA, Juniper UAC, LibreOffice, McAfee Email Gateway, ePO, GroupShield, McAfee NGFW, VirusScan, McAfee Web Gateway, Windows 8, Windows RT, MySQL Enterprise, NetBSD, OpenBSD, OpenSSL, openSUSE, Opera, Solaris, pfSense, HDX, RealPresence Collaboration Server, Polycom VBP, Puppet, RHEL, RSA Authentication Manager, SIMATIC, Slackware, Sophos AV, Splunk Enterprise, Stonesoft NGFW/VPN, stunnel, ASE, OfficeScan, Ubuntu, Unix (plateforme) ~ non exhaustif, ESXi, VMware Player, vCenter Server, VMware vSphere, VMware vSphere Hypervisor, VMware Workstation, Websense Email Security, Websense Web Filter, Websense Web Security.
Gravité de cette menace : 3/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date de création : 08/04/2014.
Références de cette faille : 1669839, 190438, 2076225, 2962393, c04236102, c04267775, c04286049, CA20140413-01, CERTFR-2014-ALE-003, CERTFR-2014-AVI-156, CERTFR-2014-AVI-161, CERTFR-2014-AVI-162, CERTFR-2014-AVI-167, CERTFR-2014-AVI-169, CERTFR-2014-AVI-177, CERTFR-2014-AVI-178, CERTFR-2014-AVI-179, CERTFR-2014-AVI-180, CERTFR-2014-AVI-181, CERTFR-2014-AVI-198, CERTFR-2014-AVI-199, CERTFR-2014-AVI-213, cisco-sa-20140409-heartbleed, CTX140605, CVE-2014-0160, CVE-2014-0346-REJECT, DSA-2896-1, DSA-2896-2, emr_na-c04236102-7, ESA-2014-034, ESA-2014-036, ESA-2014-075, FEDORA-2014-4879, FEDORA-2014-4910, FEDORA-2014-4982, FEDORA-2014-4999, FG-IR-14-011, FreeBSD-SA-14:06.openssl, Heartbleed, HPSBMU02995, HPSBMU03025, HPSBMU03040, ICSA-14-105-03, JSA10623, MDVSA-2014:123, MDVSA-2015:062, NetBSD-SA2014-004, openSUSE-SU-2014:0492-1, openSUSE-SU-2014:0560-1, openSUSE-SU-2014:0719-1, pfSense-SA-14_04.openssl, RHSA-2014:0376-01, RHSA-2014:0377-01, RHSA-2014:0378-01, RHSA-2014:0396-01, RHSA-2014:0416-01, SA40005, SA79, SB10071, SOL15159, SPL-82696, SSA:2014-098-01, SSA-635659, SSRT101565, USN-2165-1, VIGILANCE-VUL-14534, VMSA-2014-0004, VMSA-2014-0004.1, VMSA-2014-0004.2, VMSA-2014-0004.3, VMSA-2014-0004.6, VMSA-2014-0004.7, VU#720951.

Description de la vulnérabilité 

L'extension Heartbeat de TLS (RFC 6520) assure une fonctionnalité de keep-alive, sans effectuer de renégociation. Pour cela, des données aléatoires sont échangées (payload).

La version 1.0.1 de OpenSSL implémente Heartbeat, qui est activé par défaut. La fonction [d]tls1_process_heartbeat() gère les messages Heartbeat. Cependant, elle ne vérifie pas la taille des données aléatoires, et continue à lire après la fin du payload, puis envoie la zone mémoire complète (jusqu'à 64ko) à l'autre extrémité (client ou serveur).

Un attaquant peut donc employer le protocole Heartbeat sur une application compilée avec OpenSSL, afin d'obtenir des informations sensibles, comme des clés stockées en mémoire.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte de faille concerne les logiciels ou systèmes comme Tomcat, ARCserve Backup, ArubaOS, i-Suite, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, ASA, Cisco Catalyst, IOS XE Cisco, Prime Infrastructure, Cisco PRSM, Cisco Router, Cisco CUCM, Cisco IP Phone, Unity Cisco, XenDesktop, Clearswift Email Gateway, Clearswift Web Gateway, Debian, ECC, PowerPath, ArcGIS ArcView, ArcGIS for Desktop, ArcGIS for Server, Black Diamond, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, Fedora, FortiClient, FortiGate, FortiGate Virtual Appliance, FortiOS, FreeBSD, HP Diagnostics, LoadRunner, Performance Center, AIX, WebSphere MQ, IVE OS, Juniper J-Series, Junos OS, Junos Pulse, Juniper Network Connect, Juniper SA, Juniper UAC, LibreOffice, McAfee Email Gateway, ePO, GroupShield, McAfee NGFW, VirusScan, McAfee Web Gateway, Windows 8, Windows RT, MySQL Enterprise, NetBSD, OpenBSD, OpenSSL, openSUSE, Opera, Solaris, pfSense, HDX, RealPresence Collaboration Server, Polycom VBP, Puppet, RHEL, RSA Authentication Manager, SIMATIC, Slackware, Sophos AV, Splunk Enterprise, Stonesoft NGFW/VPN, stunnel, ASE, OfficeScan, Ubuntu, Unix (plateforme) ~ non exhaustif, ESXi, VMware Player, vCenter Server, VMware vSphere, VMware vSphere Hypervisor, VMware Workstation, Websense Email Security, Websense Web Filter, Websense Web Security.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin de menace est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 2 vulnérabilités.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence débutant peut exploiter ce bulletin cybersécurité.

Solutions pour cette menace 

OpenSSL : version 1.0.1g.
La version 1.0.1g est corrigée :
  http://www.openssl.org/

OpenSSL : conseil pour Heartbeat.
Il est conseillé de changer les mots de passe et de régénérer les clés SSL, car elles ont pû être volées (rien ne permet de le savoir).

OpenSSL : patch pour Heartbeat.
Un patch est disponible dans les sources d'information.

OpenSSL : contre-mesure pour Heartbeat.
Une contre-mesure consiste à recompiler OpenSSL avec "-DOPENSSL_NO_HEARTBEATS".

Apache Tomcat Native : version 1.1.30.
La version 1.1.30 est corrigée :
  http://tomcat.apache.org/native-doc/

LibreOffice : version 4.2.3.
La version 4.2.3 est corrigée :
  http://www.libreoffice.org/download/

OpenVPN Access Server : version 2.0.6.
La version 2.0.6 est corrigée :
  https://openvpn.net/

Opera : version 12.17.
La version 12.17 est corrigée :
  http://www.opera.com/

pfSense : version 2.1.2.
La version 2.1.2 est corrigée :
  http://www.pfsense.org/

Splunk : version 6.0.3.
La version 6.0.3 est corrigée :
  http://www.splunk.com/download

stunnel : version 5.01.
La version 5.01 est corrigée :
  https://www.stunnel.org/downloads.html

AIX : OpenSSL version 1.0.1.502.
La version 1.0.1.502 est corrigée :
  https://www14.software.ibm.com/webapp/iwm/web/reg/download.do?source=aixbp&lang=en_US&S_PKG=openssl&cp=UTF-8

ArubaOS : versions 6.3.1.5 et 6.4.0.3.
Les versions 6.3.1.5 et 6.4.0.3 sont corrigées :
  http://support.arubanetworks.com

Bee Ware i-Suite : solution pour OpenSSL Heartbeat.
Une solution est disponible :
  http://documentation.bee-ware.net/display/SECU/CVE-2014-0160+-+OpenSSL+Heartbleed+Bug
  https://my.bee-ware.net/

Blue Coat : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.

CA ARCserve : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.

Cisco : contre-mesure pour OpenSSL Heartbeat.
Une contre-mesure est indiquée dans la source d'information.

Citrix XenDesktop 7.5 Virtual Desktop Agents : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.

Clearswift SECURE Email Gateway : version 3.7.3.
La version 3.7.3 est corrigée :
  http://www.clearswift.com/

Clearswift SECURE Web Gateway : version 3.1.3.
La version 3.1.3 est corrigée :
  http://www.clearswift.com/

Debian : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 7 : openssl 1.0.1e-2+deb7u5

EMC ControlCenter : solution pour OpenSSL Heartbleed.
La solution est indiquée dans les sources d'information.

EMC PowerPath : solution pour OpenSSL Heartbleed.
La solution est indiquée dans les sources d'information.

ESRI ArcGIS for Server : patch pour OpenSSL Heartbeat.
Un patch est disponible :
  http://support.esri.com/en/downloads/patches-servicepacks/view/productid/66/metaid/2088

Extreme Networks Black Diamond, Summit : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.

F5 BIG-IP : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.

Fedora : nouveaux paquetages mingw-openssl.
De nouveaux paquetages sont disponibles :
  Fedora 19 : mingw-openssl 1.0.1e-6.fc19
  Fedora 20 : mingw-openssl 1.0.1e-6.fc20

Fedora : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Fedora 19 : openssl 1.0.1e-37.fc19.1
  Fedora 20 : openssl 1.0.1e-37.fc20.1

FortiGate, FortiClient : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.

Fortinet FortiClient : version 5.0.9.
La version 5.0.9 est corrigée :
  http://docs.fortinet.com/d/forticlient-windows-5.0.9-release-notes

FreeBSD : patch pour OpenSSL.
Un patch est disponible :
  http://security.FreeBSD.org/patches/SA-14:06/openssl.patch
  http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch

HP Diagnostics : patch pour OpenSSL Heartbeat.
Le patch Diagnostics 9.23 IP #2 est disponible.

HP LoadRunner, Performance Center : patch pour OpenSSL Heartbeat.
Un patch est disponible dans les sources d'information.

Ipswitch WS_FTP Server : version 7.6.3.
La version 7.6.3 est corrigée :
  http://www.ipswitchft.com/ws-ftp-server/

Juniper : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.

Mandriva BS2 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Mandriva BS2 : openssl 1.0.1m-1.mbs2

Mandriva BS : nouveaux paquetages tor.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : tor 0.2.4.22-1.mbs1

McAfee : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.

MySQL Enterprise : version 5.6.18.
La version 5.6.18 est corrigée :
  http://www.mysql.com/

NetBSD : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

NetBSD : version 6.0.5.
La version 6.0.5 est corrigée :
  http://www.netbsd.org/

NetBSD : version 6.1.4.
La version 6.1.4 est corrigée :
  http://www.netbsd.org/

OpenBSD : patch pour OpenSSL.
Un patch est disponible :
  http://ftp.openbsd.org/pub/OpenBSD/patches/5.3/common/014_openssl.patch
  http://ftp.openbsd.org/pub/OpenBSD/patches/5.4/common/007_openssl.patch
  http://ftp.openbsd.org/pub/OpenBSD/patches/5.5/common/002_openssl.patch.sig

openSUSE : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE 12.3 : openssl 1.0.1e-1.44.1
  openSUSE 13.1 : openssl 1.0.1e-11.32.1

openSUSE : nouveaux paquetages tor.
De nouveaux paquetages sont disponibles :
  openSUSE 12.3 : tor 0.2.4.22-2.8.1
  openSUSE 13.1 : tor 0.2.4.22-5.8.1

Polycom : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.

Puppet Enterprise : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.

Red Hat Enterprise Virtualization Hypervisor 3.2 : nouveaux paquetages rhev-hypervisor6.
De nouveaux paquetages sont disponibles :
  RHEL 6 : rhev-hypervisor6 6.5-20140118.1.3.2.el6_5

Red Hat Enterprise Virtualization : nouveaux paquetages rhevm-spice-client.
De nouveaux paquetages sont disponibles :
  RHEL 6 : rhevm-spice-client x64-cab-3.3-12.el6_5

Red Hat Storage Server 2.1 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl 1.0.1e-16.el6_5.7

RHEL 6.5 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl 1.0.1e-16.el6_5.7

RHEL 6 : nouveaux paquetages rhev-hypervisor6.
De nouveaux paquetages sont disponibles :
  RHEL 6 : rhev-hypervisor6 6.5-20140407.0.el6ev

RSA Authentication Manager : solution pour OpenSSL Heartbleed.
La solution est indiquée dans les sources d'information.

Siemens : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.

Slackware : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Slackware 14.0 : openssl 1.0.1g-i486-1_slack14.0, openssl-solibs 1.0.1g-i486-1_slack14.0
  Slackware 14.1 : openssl 1.0.1g-i486-1_slack14.1, openssl-solibs 1.0.1g-i486-1_slack14.1

Solaris 11.2 : patch pour OpenSSL.
Un patch est disponible :
  https://updates.oracle.com/download/19298012.html

Sophos Anti-Virus for VMware vShield : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.

Sybase : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.

Trend Micro OfficeScan : patch Critical Patch 1044.
Un patch est disponible :
  http://downloadcenter.trendmicro.com/index.php?regs=NABU&clk=latest&clkval=4554&lang_loc=1

Ubuntu : nouveaux paquetages libssl1.0.0.
De nouveaux paquetages sont disponibles :
  Ubuntu 13.10 : libssl1.0.0 1.0.1e-3ubuntu1.2
  Ubuntu 12.10 : libssl1.0.0 1.0.1c-3ubuntu2.7
  Ubuntu 12.04 LTS : libssl1.0.0 1.0.1-4ubuntu5.12

VMware ESXi 5.5 : patch ESXi550-201404401.
Un patch est disponible :
  https://www.vmware.com/patchmgr/download.portal

VMware ESXi 5.5 : patch ESXi550-201404420.
Un patch est disponible :
  https://www.vmware.com/patchmgr/download.portal

VMware Player : version 6.0.2.
La version 6.0.2 est corrigée :
  https://www.vmware.com/go/downloadplayer

VMware : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.
Les solutions suivantes sont aussi disponibles :
  VIGILANCE-SOL-34346 : VMware ESXi : patch ESXi550-201404401
  VIGILANCE-SOL-34345 : VMware ESXi : patch ESXi550-201404420
  VIGILANCE-SOL-34326 : VMware Player : version 6.0.2
  VIGILANCE-SOL-34343 : VMware vCenter : version 5.5.0c
  VIGILANCE-SOL-34344 : VMware vCenter : version 5.5 Update 1a
  VIGILANCE-SOL-34327 : VMware Workstation : version 10.0.2

VMware vCenter : version 5.5.0c.
La version 5.5.0c est corrigée :
  https://my.vmware.com/web/vmware/info/slug/datacenter_cloud_infrastructure/vmware_vsphere/5_5

VMware vCenter : version 5.5 Update 1a.
La version 5.5 Update 1a est corrigée :
  https://my.vmware.com/web/vmware/info/slug/datacenter_cloud_infrastructure/vmware_vsphere/5_5

VMware Workstation : version 10.0.2.
La version 10.0.2 est corrigée :
  https://www.vmware.com/go/downloadworkstation

Websense : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.

WebSphere MQ : solution pour OpenSSL Heartbeat.
La solution est indiquée dans les sources d'information.

Windows In-Box Junos Pulse Client : patch.
Un patch est disponible :
  https://support.microsoft.com/kb/2962393
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une base de vulnérabilités applicatives. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.