L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilité de OpenSSL : six vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de OpenSSL.
Gravité de cette faille : 3/4.
Nombre de vulnérabilités dans ce bulletin : 6.
Date création : 03/05/2016.
Références de ce bulletin : 1982949, 1985850, 1987779, 1993215, 1995099, 1998797, 2003480, 2003620, 2003673, 510853, 9010083, bulletinapr2016, bulletinapr2017, CERTFR-2016-AVI-151, CERTFR-2016-AVI-153, CERTFR-2018-AVI-160, cisco-sa-20160504-openssl, cpuapr2017, cpujan2018, cpujul2016, cpujul2017, cpujul2018, cpuoct2016, cpuoct2017, cpuoct2018, CTX212736, CTX233832, CVE-2016-2105, CVE-2016-2106, CVE-2016-2107, CVE-2016-2108, CVE-2016-2109, CVE-2016-2176, DLA-456-1, DSA-3566-1, ESA-2017-142, FEDORA-2016-05c567df1a, FEDORA-2016-1e39d934ed, FEDORA-2016-e1234b65a2, FG-IR-16-026, FreeBSD-SA-16:17.openssl, HPESBGN03728, HPESBHF03756, HT206903, JSA10759, K23230229, K36488941, K51920288, K75152412, K93600123, MBGSA-1603, MIGR-5099595, MIGR-5099597, NTAP-20160504-0001, openSUSE-SU-2016:1237-1, openSUSE-SU-2016:1238-1, openSUSE-SU-2016:1239-1, openSUSE-SU-2016:1240-1, openSUSE-SU-2016:1241-1, openSUSE-SU-2016:1242-1, openSUSE-SU-2016:1243-1, openSUSE-SU-2016:1273-1, openSUSE-SU-2016:1566-1, openSUSE-SU-2017:0487-1, PAN-SA-2016-0020, PAN-SA-2016-0028, RHSA-2016:0722-01, RHSA-2016:0996-01, RHSA-2016:1137-01, RHSA-2016:1648-01, RHSA-2016:1649-01, RHSA-2016:1650-01, RHSA-2016:2054-01, RHSA-2016:2055-01, RHSA-2016:2056-01, RHSA-2016:2073-01, SA123, SA40202, SB10160, SOL23230229, SOL36488941, SOL51920288, SOL75152412, SP-CAAAPPQ, SPL-119440, SPL-121159, SPL-123095, SSA:2016-124-01, STORM-2016-002, SUSE-SU-2016:1206-1, SUSE-SU-2016:1228-1, SUSE-SU-2016:1231-1, SUSE-SU-2016:1233-1, SUSE-SU-2016:1267-1, SUSE-SU-2016:1290-1, SUSE-SU-2016:1360-1, SUSE-SU-2018:0112-1, TNS-2016-10, USN-2959-1, VIGILANCE-VUL-19512, VN-2016-006, VN-2016-007.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans OpenSSL.

Un attaquant peut se positionner en Man-in-the-Middle et utiliser l'algorithme AES CBC avec un serveur supportant AES-NI, afin de lire ou modifier des données de la session. Cette vulnérabilité a initialement été corrigée dans les versions 1.0.1o et 1.0.2c, mais jamais annoncée. [grav:3/4; CVE-2016-2108]

Un attaquant peut se positionner en Man-in-the-Middle et utiliser l'algorithme AES CBC avec un serveur supportant AES-NI, afin de lire ou modifier des données de la session. [grav:3/4; CVE-2016-2107]

Un attaquant peut provoquer un buffer overflow dans EVP_EncodeUpdate(), qui est principalement utilisée par les outils en ligne de commande, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-2105]

Un attaquant peut provoquer un buffer overflow dans EVP_EncryptUpdate(), qui est difficile à atteindre, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-2106]

Un attaquant peut provoquer une consommation excessive de mémoire dans d2i_CMS_bio(), afin de mener un déni de service. [grav:2/4; CVE-2016-2109]

Un attaquant peut forcer la lecture à une adresse invalide dans les applications utilisant X509_NAME_oneline(), afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:2/4; CVE-2016-2176]
Bulletin Vigil@nce complet... (Essai gratuit)

Cette vulnérabilité cybersécurité concerne les logiciels ou systèmes comme SDS, SES, SNS, Tomcat, Mac OS X, StormShield, Blue Coat CAS, ProxyAV, ProxySG par Blue Coat, Cisco ASR, Cisco Aironet, Cisco ATA, Cisco AnyConnect Secure Mobility Client, Cisco ACE, ASA, Cisco Catalyst, Cisco Content SMA, Cisco ESA, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, Cisco IPS, IronPort Email, IronPort Encryption, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Prime LMS, Cisco PRSM, Cisco Router, Secure ACS, Cisco CUCM, Cisco IP Phone, Cisco MeetingPlace, Cisco Wireless IP Phone, Cisco WSA, Cisco Wireless Controller, XenServer, Debian, PowerPath, Black Diamond, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, Fedora, FileZilla Server, FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiOS, FreeBSD, Android OS, HP Operations, HP Switch, AIX, IRAD, QRadar SIEM, IBM System x Server, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere MQ, Juniper J-Series, Junos OS, Junos Space, NSM Central Manager, NSMXpress, MariaDB ~ précis, McAfee NSM, Meinberg NTP Server, MySQL Community, MySQL Enterprise, Data ONTAP 7-Mode, NETASQ, NetScreen Firewall, ScreenOS, Nodejs Core, OpenBSD, OpenSSL, openSUSE, openSUSE Leap, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Solaris, Tuxedo, VirtualBox, WebLogic, Oracle Web Tier, Palo Alto Firewall PA***, PAN-OS, Percona Server, pfSense, Pulse Connect Secure, Puppet, Python, RHEL, JBoss EAP par Red Hat, SAS Management Console, Shibboleth SP, Slackware, Splunk Enterprise, stunnel, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Nessus, Ubuntu, VxWorks, X2GoClient.

Notre équipe Vigil@nce a déterminé que la gravité de cette menace sécurité est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 6 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce sécurité.

Solutions pour cette menace

OpenSSL : version 1.0.2h.
La version 1.0.2h est corrigée :
  https://www.openssl.org/source/

OpenSSL : version 1.0.1t.
La version 1.0.1t est corrigée :
  https://www.openssl.org/source/

AIX : patch OpenSSL.
Un patch est disponible :
   https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=aixbp

Android OS : patchs 2017-07-01 et 2017-07-05.
Un patch est indiqué dans les sources d'information.

Android : versions corrigées.
Les versions corrigées sont indiquées dans les sources d'information.

Apache Tomcat : version 7.0.70.
La version 7.0.70 est corrigée :
  http://tomcat.apache.org/download-70.cgi

Apple Mac OS X : version 10.11.6.
La version 10.11.6 est corrigée :
  http://www.apple.com/support/downloads/

Blue Coat CAS, ProxyAV : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Blue Coat ProxySG : versions 6.5.9.8, 6.6.4.1.
Les versions 6.5.9.8 et 6.6.4.1 sont corrigées.

Cisco : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Citrix XenServer 7.2 : patch pour OpenSSL.
Un patch est disponible :
  https://support.citrix.com/article/CTX233880

Citrix XenServer : patch.
Un patch est indiqué dans les sources d'information.

Copssh : version 5.5.3.
La version 5.5.3 est corrigée :
  https://www.itefix.net/copssh

Debian : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 7 : openssl 1.0.1e-2+deb7u21
  Debian 8 : openssl 1.0.1k-3+deb8u5

EMC PowerPath : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Extreme Networks : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

F5 BIG-IP : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

Fedora 23 : nouveaux paquetages mingw-openssl.
De nouveaux paquetages sont disponibles :
  Fedora 23 : mingw-openssl 1.0.2h-1.fc23

Fedora : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Fedora 22 : openssl 1.0.1k-15.fc22
  Fedora 23 : openssl 1.0.2h-1.fc23

FileZilla Server : version 0.9.57.
La version 0.9.57 est corrigée :
  https://filezilla-project.org/

FortiNet FortiOS, FortiAnalyzer : versions 5.4.1, 5.2.8.
Les versions 5.4.1, 5.2.8 sont corrigées.

FreeBSD : patch pour OpenSSL.
Un patch est disponible :
  https://security.FreeBSD.org/patches/SA-16:17/openssl-9.patch
  https://security.FreeBSD.org/patches/SA-16:17/openssl-10.patch

Google Android/Pixel : patch pour juillet 2018.
Un patch est indiqué dans les sources d'information.

HPE Operations Agent : version 11.16.
La version 11.16 est corrigée.

HPE Switch Comware : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

IBM BigFix Platform : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

IBM IMM for System x : version YUOOH4B - 1.53.
La version YUOOH4B - 1.53 est corrigée :
  http://www.ibm.com/support/fixcentral/

IBM QRadar SIEM : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

IBM Rational Application Developer : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information.

IBM Spectrum Protect : versions 7.1.6.5 et 8.1.0.2.
Les versions 7.1.6.5 et 8.1.0.2 sont corrigées :
  Version 7.1.6.5 : http://www-01.ibm.com/support/docview.wss?uid=swg24042496
  Version 8.1.0.2 : http://www.ibm.com/support/docview.wss?uid=swg24043351

IBM WebSphere MQ : version 8.0.0.6.
La version 8.0.0.6 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg21995100

Juniper : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

McAfee Network Security Manager : patch pour OpenSSL.
Un patch est disponible :
  http://www.mcafee.com/us/downloads/downloads.aspx

Meinberg LANTIME : version 6.18.017.
La version 6.18.017 est corrigée :
  https://www.meinbergglobal.com/

Meinberg NTP Server : version 4.2.8p8.
La version 4.2.8p8 est corrigée :
  http://www.microsoft.com/en-us/download/details.aspx?id=29

MySQL : version 5.5.55.
La version 5.5.55 est corrigée.

MySQL : version 5.6.36.
La version 5.6.36 est corrigée.

MySQL : version 5.7.13.
La version 5.7.13 est corrigée :
  MySQL Community : https://support.oracle.com/
  MySQL Enterprise : http://dev.mysql.com/downloads/

MySQL : version 5.7.18.
La version 5.7.18 est corrigée.

Nessus : version 6.7.
La version 6.7 est corrigée :
  http://www.tenable.com/

NetApp Data ONTAP : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Node.js Core : versions 0.10.45, 0.12.14, 4.4.4 et 5.11.1.
Les versions 0.10.45, 0.12.14, 4.4.4 et 5.11.1 sont corrigées :
  https://nodejs.org/en/download/

OpenBSD : patch pour libcrypto.
Un patch est disponible :
  http://ftp.openbsd.org/pub/OpenBSD/patches/5.8/common/013_crypto.patch.sig
  http://ftp.openbsd.org/pub/OpenBSD/patches/5.8/common/015_crypto.patch.sig
  http://ftp.openbsd.org/pub/OpenBSD/patches/5.9/common/005_crypto.patch.sig
  http://ftp.openbsd.org/pub/OpenBSD/patches/5.9/common/009_crypto.patch.sig

openSUSE Leap 42.1 : nouveaux paquetages compat-openssl098.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : compat-openssl098 0.9.8j-12.2

openSUSE Leap 42.1 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : openssl 1.0.1i-21.1

openSUSE : nouveaux paquetages libopenssl0_9_8.
De nouveaux paquetages sont disponibles :
  openSUSE 11.4 : libopenssl0_9_8 0.9.8zh-14.1
  openSUSE 13.1 : libopenssl0_9_8 0.9.8zh-5.3.1
  openSUSE 13.2 : libopenssl0_9_8 0.9.8zh-9.6.1
  openSUSE Leap 42.1 : libopenssl0_9_8 0.9.8zh-17.1

openSUSE : nouveaux paquetages nodejs.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : nodejs 4.4.5-27.1
  openSUSE 13.2 : nodejs 4.4.5-18.1

openSUSE : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE 11.4 : openssl 1.0.1p-74.1
  openSUSE 13.1 : openssl 1.0.1k-11.87.1
  openSUSE 13.2 : openssl 1.0.1k-2.36.1
  openSUSE Leap 42.1 : openssl 1.0.1i-15.1

Oracle Communications : CPU de avril 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2247453.1
  https://support.oracle.com/rs?type=doc&id=2248470.1
  https://support.oracle.com/rs?type=doc&id=2251718.1
  https://support.oracle.com/rs?type=doc&id=2245233.1
  https://support.oracle.com/rs?type=doc&id=2248526.1
  https://support.oracle.com/rs?type=doc&id=2250567.1

Oracle Communications : CPU de juillet 2017.
Un Critical Patch Update est disponible.

Oracle Communications : CPU de juillet 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2410237.1
  https://support.oracle.com/rs?type=doc&id=2406191.1
  https://support.oracle.com/rs?type=doc&id=2410234.1
  https://support.oracle.com/rs?type=doc&id=2408211.1
  https://support.oracle.com/rs?type=doc&id=2406689.1
  https://support.oracle.com/rs?type=doc&id=2408212.1
  https://support.oracle.com/rs?type=doc&id=2410243.1
  https://support.oracle.com/rs?type=doc&id=2410198.1

Oracle Communications : CPU de octobre 2016.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2188694.1

Oracle Communications : CPU de octobre 2017.
Un Critical Patch Update est disponible.

Oracle Communications : CPU de octobre 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2451363.1
  https://support.oracle.com/rs?type=doc&id=2450339.1
  https://support.oracle.com/rs?type=doc&id=2450354.1
  https://support.oracle.com/rs?type=doc&id=2450340.1
  https://support.oracle.com/rs?type=doc&id=2452772.1
  https://support.oracle.com/rs?type=doc&id=2451007.1

Oracle Fusion Middleware : CPU de janvier 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2325393.1

Oracle Fusion Middleware : CPU de octobre 2016.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2171485.1

Oracle Solaris : patch pour logiciels tiers de avril 2017 v1.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Oracle VM VirtualBox : version 5.0.22.
La version 5.0.22 est corrigée :
  https://support.oracle.com/rs?type=doc&id=2151065.1

PAN-OS : versions 5.0.20, 5.1.13, 6.0.14, 6.1.13, 7.0.9 et 7.1.4.
Les versions 5.0.20, 5.1.13, 6.0.14, 6.1.13, 7.0.9 et 7.1.4 sont corrigées.

pfSense : version 2.3.1.
La version 2.3.1 est corrigée :
  https://pfsense.org/download/

Pulse Connect Secure : solution pour OpenSSL.
Les versions 8.2r4, 8.1r10, 8.0r16, 7.4r13.7 et C5.2R7 sont corrigées.

Puppet Labs Puppet Enterprise : version 2016.2.0.
La version 2016.2.0 est corrigée.

Python : version 2.7.12.
La version 2.7.12 est corrigée :
  https://www.python.org/downloads/release/python-2712/

Red Hat JBoss Enterprise Application Platform : version 6.4.10.
La version 6.4.10 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=appplatform&downloadType=securityPatches&version=6.4

Red Hat JBoss Web Server : version 2.1.1.
La version 2.1.1 est corrigée :
  https://access.redhat.com/documentation/en-US/Red_Hat_JBoss_Web_Server/2.1/html/2.1.1_Release_Notes/index.html

RHEL 6.7 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl 1.0.1e-42.el6_7.5

RHEL : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 5 : openssl 0.9.8e-40.el5_11
  RHEL 6 : openssl 1.0.1e-48.el6_8.1
  RHEL 7 : openssl 1.0.1e-51.el7_2.5

SAS Web Server : version corrigée pour OpenSSL.
La SAS Note 58194 est disponible :
  http://support.sas.com/kb/58/194.html

Shibboleth Service Provider : version 2.6.0.
La version 2.6.0 est corrigée.

Slackware : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Slackware 14.0 : openssl 1.0.1t-*-1_slack14.0
  Slackware 14.1 : openssl 1.0.1t-*-1_slack14.1

Snare Enterprise Agent : versions corrigées pour OpenSSL.
Les versions corrigées sont :
  Snare Enterprise Agent for Windows : 4.3.6
  Snare Enterprise Agent for MSSQL : 1.4.7

Solaris : patch pour logiciels tiers 04/2016.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Splunk Enterprise : versions 6.4.2, 6.2.10, 6.1.11 et 6.0.12.
Les versions 6.4.2, 6.2.10, 6.1.11 et 6.0.12 sont corrigées :
  http://www.splunk.com/en_us/download.html

Splunk Enterprise : versions 6.4.2, 6.3.6, 6.2.11, 6.1.11, 6.0.12 et 5.0.16.
Les versions 6.4.2, 6.3.6, 6.2.11, 6.1.11, 6.0.12 et 5.0.16 sont corrigées :
  http://www.splunk.com/en_us/download.html

Stormshield : solution pour OpenSSL.
La solution est indiquée dans les sources d'information pour chacun des produits groupés sous le nom Stormshield.

stunnel : version 5.32.
La version 5.32 est corrigée :
  https://www.stunnel.org/downloads.html

SUSE LE 11 : nouveaux paquetages compat-openssl097g.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : compat-openssl097g 0.9.7g-146.22.44.1
  SUSE LE 11 SP4 : compat-openssl097g 0.9.7g-146.22.44.1

SUSE LE 11 : nouveaux paquetages openssl1.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : openssl1 1.0.1g-0.47.1

SUSE LE 12 : nouveaux paquetages compat-openssl098.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : compat-openssl098 0.9.8j-97.1
  SUSE LE 12 SP1 : compat-openssl098 0.9.8j-97.1

SUSE LE 12 RTM : nouveaux paquetages openssl (17/01/2018).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : openssl 1.0.1i-27.28.1

SUSE LE : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 SP4 : openssl 0.9.8a-18.96.1
  SUSE LE 11 SP4 : openssl 0.9.8j-0.97.1
  SUSE LE 12 RTM : openssl 1.0.1i-27.16.1
  SUSE LE 12 SP1 : openssl 1.0.1i-47.1

Synology DSM : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Synology DS/RS : version 5.2-5967-1.
La version 5.2-5967-1 est corrigée :
  https://www.synology.com/

Synology DS/RS : version 6.0-7321-6.
La version 6.0-7321-6 est corrigée :
  https://www.synology.com/

Tivoli Workload Scheduler : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information.

Ubuntu : nouveaux paquetages libssl1.0.0.
De nouveaux paquetages sont disponibles :
  Ubuntu 16.04 LTS : libssl1.0.0 1.0.2g-1ubuntu4.1
  Ubuntu 15.10 : libssl1.0.0 1.0.2d-0ubuntu1.5
  Ubuntu 14.04 LTS : libssl1.0.0 1.0.1f-1ubuntu2.19
  Ubuntu 12.04 LTS : libssl1.0.0 1.0.1-4ubuntu5.36

Wind River Linux : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Wind River VxWorks : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

X2Go : version 4.0.5.1-2016.08.18.
La version 4.0.5.1-2016.08.18 est corrigée :
  http://wiki.x2go.org/doku.php/download:start
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une contre-mesure de vulnérabilité de système. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.