L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

menace sécurité CVE-2015-1788 CVE-2015-1789 CVE-2015-1790

OpenSSL : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de OpenSSL.
Gravité de cette alerte : 2/4.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 12/06/2015.
Références de cette alerte : 1450666, 1610582, 1647054, 1961111, 1961569, 1964113, 1964766, 1966038, 1970103, 1972125, 9010038, 9010039, BSA-2015-006, bulletinjul2015, c04760669, c05184351, c05353965, CERTFR-2015-AVI-257, CERTFR-2015-AVI-431, CERTFR-2016-AVI-128, CERTFR-2016-AVI-303, cisco-sa-20150612-openssl, cpuapr2017, cpuoct2017, CTX216642, CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1792, DSA-3287-1, FEDORA-2015-10047, FEDORA-2015-10108, FreeBSD-SA-15:10.openssl, HPSBGN03678, HPSBHF03613, HPSBUX03388, JSA10694, JSA10733, NetBSD-SA2015-008, NTAP-20150616-0001, openSUSE-SU-2015:1139-1, openSUSE-SU-2015:1277-1, openSUSE-SU-2015:2243-1, openSUSE-SU-2016:0640-1, PAN-SA-2016-0020, PAN-SA-2016-0028, RHSA-2015:1115-01, RHSA-2015:1197-01, SA40002, SA98, SB10122, SOL16898, SOL16913, SOL16915, SOL16938, SSA:2015-162-01, SSRT102180, SUSE-SU-2015:1143-1, SUSE-SU-2015:1150-1, SUSE-SU-2015:1181-1, SUSE-SU-2015:1181-2, SUSE-SU-2015:1182-2, SUSE-SU-2015:1183-1, SUSE-SU-2015:1183-2, SUSE-SU-2015:1184-1, SUSE-SU-2015:1184-2, SUSE-SU-2015:1185-1, TNS-2015-07, TSB16728, USN-2639-1, VIGILANCE-VUL-17117.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans OpenSSL.

Un attaquant peut provoquer une boucle infinie via ECParameters, afin de mener un déni de service. [grav:2/4; CVE-2015-1788]

Un attaquant peut forcer la lecture à une adresse invalide dans X509_cmp_time(), afin de mener un déni de service. [grav:2/4; CVE-2015-1789]

Un attaquant peut forcer le déréférencement d'un pointeur NULL via EnvelopedContent, afin de mener un déni de service. [grav:2/4; CVE-2015-1790]

Un attaquant peut provoquer une boucle infinie via CMS signedData, afin de mener un déni de service. [grav:2/4; CVE-2015-1792]
Bulletin Vigil@nce complet... (Essai gratuit)

Cet avis de faille concerne les logiciels ou systèmes comme ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, FabricOS, Brocade Network Advisor, Brocade vTM, Cisco ASR, Cisco ATA, Cisco AnyConnect Secure Mobility Client, AnyConnect VPN Client, Cisco ACE, ASA, AsyncOS, Cisco Catalyst, Cisco Content SMA, Cisco ESA, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, Cisco IPS, IronPort Encryption, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Prime LMS, Prime Network Control Systems, Cisco PRSM, Cisco Router, Secure ACS, Cisco CUCM, Cisco Manager Attendant Console, Cisco Unified CCX, Cisco IP Phone, Cisco MeetingPlace, Cisco Wireless IP Phone, Unity Cisco, Cisco WSA, Debian, BIG-IP Hardware, TMOS, Fedora, FileZilla Server, FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiClient, FortiManager, FortiManager Virtual Appliance, FortiOS, FreeBSD, HP Operations, HP Switch, HP-UX, AIX, DB2 UDB, IRAD, Security Directory Server, SPSS Modeler, Tivoli Workload Scheduler, WebSphere MQ, Juniper J-Series, Junos OS, Junos Pulse, Juniper Network Connect, Juniper SBR, McAfee Email and Web Security, McAfee Email Gateway, McAfee Web Gateway, Data ONTAP 7-Mode, Snap Creator Framework, SnapManager, NetBSD, NetScreen Firewall, ScreenOS, Nodejs Core, OpenBSD, OpenSSL, openSUSE, openSUSE Leap, Oracle Communications, Solaris, Palo Alto Firewall PA***, PAN-OS, pfSense, Pulse Connect Secure, Puppet, RHEL, Slackware, stunnel, SUSE Linux Enterprise Desktop, SLES, Synology DS***, Synology RS***, Nessus, Ubuntu, WinSCP.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce de menace informatique est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 4 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte de faille informatique.

Solutions pour cette menace

OpenSSL : version 1.0.2b.
La version 1.0.2b est corrigée :
  https://www.openssl.org/source/

OpenSSL : version 1.0.1n.
La version 1.0.1n est corrigée :
  https://www.openssl.org/source/

OpenSSL : version 1.0.0s.
La version 1.0.0s est corrigée :
  https://www.openssl.org/source/

OpenSSL : version 0.9.8zg.
La version 0.9.8zg est corrigée :
  https://www.openssl.org/source/

AIX : patch pour OpenSSL (15/07/2015).
Un patch est disponible :
  ftp://aix.software.ibm.com/aix/efixes/security/openssl_fix14.tar

Blue Coat : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

Brocade : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Cisco : solution pour OpenSSL.
Des solutions par produit sont disponibles dans les sources d'information.

Citrix NetScaler Platform IPMI LOM : solution.
La solution est indiquée dans les sources d'information.

Citrix NetScaler : versions corrigées pour LOM Firmware.
Les versions corrigées sont indiquées dans les sources d'information.

Debian : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 7 : openssl 1.0.1e-2+deb7u17
  Debian 8 : openssl 1.0.1k-3+deb8u1

F5 BIG-IP : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

Fedora : nouveaux paquetages openssl (22/06/2015).
De nouveaux paquetages sont disponibles :
  Fedora 22 : openssl 1.0.1k-10.fc22
  Fedora 21 : openssl 1.0.1k-10.fc21

FileZilla Server : version 0.9.53.
La version 0.9.53 est corrigée :
  https://filezilla-project.org/download.php?type=server

Fortinet : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

FreeBSD : patch pour openssl.
Un patch est disponible :
  FreeBSD 10.1 : https://security.FreeBSD.org/patches/SA-15:10/openssl-10.1.patch
  FreeBSD 9.3, 8.4 : https://security.FreeBSD.org/patches/SA-15:10/openssl-8.4.patch

HPE Switch Comware : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information pour de nombreux modèles de produits Comware 5 et 7.

HP Operations : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information. L'annonce fournit un lien par plateforme.

HP-UX : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information :
  OpenSSL_A.01.00.01p
  https://h20392.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=OPENSSL11I

IBM DB2 : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information.

IBM DB2 : version 10.1 Fix Pack 6.
La version 10.1 Fix Pack 6 est corrigée.

IBM DB2 : version 10.5 Fix Pack 7.
La version 10.5 Fix Pack 7 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg24041243

IBM DB2 : version 9.7 Fix Pack 11.
La version 9.7 Fix Pack 11 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg24040935

IBM Rational Application Developer : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

IBM SPSS Modeler : patch pour GSKit.
Un patch est indiqué dans les sources d'information.

IBM Tivoli Security Directory Server : patch pour OpenSSL.
Un patch est disponible dans les sources d'information pour les versions 6.3, 6.3.1 et 6.4.

IBM Tivoli Workload Scheduler : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information.

IBM WebSphere MQ : version 8.0.0.4.
La version 8.0.0.4 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg21969244
  http://www-01.ibm.com/support/docview.wss?uid=swg24037500

IBM WebSphere MQ : versions corrigées pour CVE-2015-1788.
Les versions corrigées sont indiquées dans les sources d'information.

Juniper Junos : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

Juniper Pulse : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

McAfee Email and Web Security : version 5.6h1054075.
La version 5.6h1054075 est corrigée :
  https://support.mcafee.com/downloads
Des contre-mesures sont indiquées dans l'annonce McAfee.

McAfee Email Gateway : version 7.6.401.
La version 7.6.401 est corrigée :
  https://support.mcafee.com/downloads

McAfee Web Gateway : solution pour OpenSSL.
Une solution est disponible auprès de McAfee.

Nessus : version 5.2.12.
La version 5.2.12 est corrigée :
  http://www.tenable.com/products/nessus-vulnerability-scanner

NetApp Data : solution pour OpenSSL 06/2015.
Un patch est disponible :
  Data ONTAP Edge : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=923550
  Data ONTAP operating in 7-Mode : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=923548
  Data ONTAP SMI-S Agent : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=923545
  Snap Creator Framework : https://mysupport.netapp.com/NOW/download/software/snapcreator_framework/4.3P1/
  SnapManager for SAP win : http://mysupport.netapp.com/NOW/download/software/snapmanager_sap_win/3.4P2/
  SnapManager for SAP unix : http://mysupport.netapp.com/NOW/download/software/snapmanager_sap_unix/3.4P2/

NetBSD : patch pour OpenSSL.
Un patch est disponible dans les sources d'information.

Node.js : version 0.12.5.
La version 0.12.5 est corrigée :
  https://nodejs.org/download/

OpenBSD : patch pour OpenSSL.
Un patch est disponible :
  http://ftp.openbsd.org/pub/OpenBSD/patches/5.6/common/026_openssl.patch.sig
  http://ftp.openbsd.org/pub/OpenBSD/patches/5.7/common/009_openssl.patch.sig

openSUSE 13.2 : nouveaux paquetages libressl.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : libressl 2.2.1-2.3.1

openSUSE : nouveaux paquetages libopenssl0_9_8.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : libopenssl0_9_8 0.9.8zh-9.3.1
  openSUSE Leap 42.1 : libopenssl0_9_8 0.9.8zh-14.1

openSUSE : nouveaux paquetages mysql-community-server.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : mysql-community-server 5.6.27-7.13.1
  openSUSE 13.2 : mysql-community-server 5.6.27-2.12.1
  openSUSE Leap 42.1 : mysql-community-server 5.6.27-8.1

openSUSE : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : libopenssl1_0_0 1.0.1k-2.24.1
  openSUSE 13.1 : libopenssl1_0_0 1.0.1k-11.72.1

Oracle Communications : CPU de avril 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2247453.1
  https://support.oracle.com/rs?type=doc&id=2248470.1
  https://support.oracle.com/rs?type=doc&id=2251718.1
  https://support.oracle.com/rs?type=doc&id=2245233.1
  https://support.oracle.com/rs?type=doc&id=2248526.1
  https://support.oracle.com/rs?type=doc&id=2250567.1

Oracle Communications : CPU de octobre 2017.
Un Critical Patch Update est disponible.

PAN-OS : versions 5.0.20, 5.1.13, 6.0.14, 6.1.13, 7.0.9 et 7.1.4.
Les versions 5.0.20, 5.1.13, 6.0.14, 6.1.13, 7.0.9 et 7.1.4 sont corrigées.

pfSense : version 2.2.3.
La version 2.2.3 est corrigée :
  https://www.pfsense.org/download/mirror.php?section=updates
  https://www.pfsense.org/download/mirror.php?section=downloads

Puppet Labs Puppet : versions corrigées pour OpenSSL.
Les versions suivantes sont corrigées :
  Puppet Enterprise 3.8.1
  Puppet Agent 1.1.1

RHEL 5 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 5 : openssl 0.9.8e-36.el5_11

RHEL : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl 1.0.1e-30.el6_6.11
  RHEL 7 : openssl 1.0.1e-42.el7_1.8

ScreenOS : version 6.3.0r22.
La version 6.3.0r22 est corrigée :
  https://www.juniper.net/

Slackware : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Slackware 13.0 : openssl 0.9.8zg-*-1_slack13.0
  Slackware 13.1 : openssl 0.9.8zg-*-1_slack13.1
  Slackware 13.37 : openssl 0.9.8zg-*-1_slack13.37
  Slackware 14.0 : openssl 1.0.1n-*-1_slack14.0
  Slackware 14.1 : openssl 1.0.1n-*-1_slack14.1

Solaris : patch pour Third Party (07/2015).
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

stunnel : version 5.18.
La version 5.18 est corrigée :
  https://www.stunnel.org/downloads.html

SUSE LE 10 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : openssl 0.9.8a-18.92.1

SUSE LE 11 : nouveaux paquetages OpenSSL 0.9.8.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : openssl 0.9.8j-0.72.1

SUSE LE 12 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 : libopenssl1_0_0 1.0.1i-25.1, libopenssl0_9_8 0.9.8j-78.1

SUSE LE : nouveaux paquetages OpenSSL 0.9.7.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : compat-openssl097g 0.9.7g-146.22.31.1
  SUSE LE 10 : compat-openssl097g 0.9.7g-13.31.1

SUSE LE Security Module 11 : nouveaux paquetages OpenSSL 1.0.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : openssl1 1.0.1g-0.30.1

Synology DS214, RS214 : version 5.2-5592.
La version 5.2-5592 est corrigée.

Ubuntu : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.04 : libssl1.0.0 1.0.1f-1ubuntu11.4
  Ubuntu 14.10 : libssl1.0.0 1.0.1f-1ubuntu9.8
  Ubuntu 14.04 LTS : libssl1.0.0 1.0.1f-1ubuntu2.15
  Ubuntu 12.04 LTS : libssl1.0.0 1.0.1-4ubuntu5.31

WinSCP : version 5.7.4.
La version 5.7.4 est corrigée :
  http://winscp.net/eng/download.php
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des alertes de vulnérabilité de système. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.