L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilité de OpenSSL : trucage de chaîne de certification X.509

Synthèse de la vulnérabilité

Un attaquant peut faire accepter par OpenSSL des certificats usurpés, afin d'intercepter des communications chiffrées ou de contourner des authentifications par signature cryptographique.
Gravité de ce bulletin : 3/4.
Date création : 09/07/2015.
Références de cette menace : 1962398, 1963151, BSA-2015-009, bulletinjul2015, c04760669, c05184351, CERTFR-2015-AVI-285, CERTFR-2015-AVI-431, cisco-sa-20150710-openssl, cpuoct2017, CVE-2015-1793, FEDORA-2015-11414, FEDORA-2015-11475, FreeBSD-SA-15:12.openssl, HPSBHF03613, HPSBUX03388, JSA10694, SB10125, SOL16937, SPL-103044, SSA:2015-190-01, SSRT102180, VIGILANCE-VUL-17337.

Description de la vulnérabilité

La validation de certificat commence par la construction d'une chaîne où chaque certificat fournit la clé publique de vérification de la signature du suivant.

En fonction de la présence ou non d'extensions X.509v3 d'identification comme "Authority Key Identifier", la construction de la chaîne peut être non déterministe. Lorsque la première chaîne construite ne permet pas de valider un certificat, OpenSSL 1.0.1 et 1.0.2 cherchent d'autres chaînes possibles. Cependant, lors de la vérification de ces chaînes de la seconde chance, certaines vérifications ne sont pas faites. En particulier, un attaquant peut faire utiliser son certificat comme un certificat d'AC, même si ce dernier possède l'extension standard "Contraintes de base" indiquant "AC: non". Cela lui permet de créer des certificats pour toute entité.

Cette vulnérabilité impacte les clients vérifiant un certificat serveur, ou les serveurs TLS vérifiant un certificat client.

Un attaquant peut donc faire accepter par OpenSSL des certificats usurpés, afin d'intercepter des communications chiffrées ou de contourner des authentifications par signature cryptographique.
Bulletin Vigil@nce complet... (Essai gratuit)

Cette vulnérabilité concerne les logiciels ou systèmes comme DCFM Enterprise, Brocade Network Advisor, Brocade vTM, ASA, Cisco Catalyst, IOS XE Cisco, Nexus par Cisco, NX-OS, Prime Infrastructure, Cisco PRSM, Cisco Router, Cisco CUCM, Clearswift Email Gateway, BIG-IP Hardware, TMOS, Fedora, FileZilla Server, FreeBSD, hMailServer, HP Switch, HP-UX, IRAD, Juniper J-Series, Junos OS, McAfee Email Gateway, McAfee NGFW, Nodejs Core, OpenSSL, Oracle Communications, Solaris, Slackware, Splunk Enterprise, stunnel, Synology DSM, Synology DS***, Synology RS***, Nessus, Websense Web Security, WinSCP, X2GoClient.

Notre équipe Vigil@nce a déterminé que la gravité de cet avis de vulnérabilité informatique est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cette alerte cyber-sécurité.

Solutions pour cette menace

OpenSSL : version 1.0.2d.
La version 1.0.2d est corrigée :
  https://www.openssl.org/source/openssl-1.0.2d.tar.gz

OpenSSL : version 1.0.1p.
La version 1.0.1p est corrigée :
  https://www.openssl.org/source/openssl-1.0.1p.tar.gz

F5 BIG-IP : non vulnérable.
Après analyse, BIG-IP n'est pas vulnérable.

Brocade : versions corrigées pour Java, OpenSSL, OpenSSH, BIND.
Les versions corrigées sont indiquées dans les sources d'information.

Cisco : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Clearswift SECURE Email Gateway : version 3.8.8.
La version 3.8.8 est corrigée :
  http://web2.clearswift.com/support/msw/forums/topic.asp?TOPIC_ID=24581

Fedora : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Fedora 21 : openssl 1.0.1k-11.fc21
  Fedora 22 : openssl 1.0.1k-11.fc22

FileZilla Server : version 0.9.54.
La version 0.9.54 est corrigée :
  https://filezilla-project.org/versions.php?type=server

FreeBSD : patch pour openssl.
Dans la branche stable/10, la révision r285330 est corrigée. Les branches précédentes ne sont pas vulnérables.

hMailServer : version 5.6.4.
La version 5.6.4 est corrigée :
  https://www.hmailserver.com/download

HPE Switch Comware : patch pour OpenSSL.
Un patch est indiqué dans les sources d'information pour de nombreux modèles de produits Comware 5 et 7.

HP-UX : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information :
  OpenSSL_A.01.00.01p
  https://h20392.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=OPENSSL11I

IBM Rational Application Developer : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Juniper Junos : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

McAfee : versions corrigées pour OpenSSL CVE-2015-1793.
Les versions corrigées sont indiquées dans les sources d'information.

Nessus : version 6.4.2.
La version 6.4.2 est corrigée :
  http://www.tenable.com/products/nessus-vulnerability-scanner

Node.js : version 0.12.7.
La version 0.12.7 est corrigée :
  https://nodejs.org/download/

Oracle Communications : CPU de octobre 2017.
Un Critical Patch Update est disponible.

slackware : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Slackware 14.0 : openssl 1.0.1p-*-1_slack14.0, openssl solibs-1.0.1p-*-1_slack14.0
  Slackware 14.1 : openssl 1.0.1p-*-1_slack14.1, openssl solibs-1.0.1p-*-1_slack14.1

Snare Enterprise Agent for Windows : version 4.3.3.
La version 4.3.3 est corrigée :
  http://www.intersectalliance.com/

Snare Enterprise Agent : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

Solaris : patch pour Third Party (07/2015).
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Splunk Enterprise : version 5.0.14.
La version 5.0.14 est corrigée :
  http://www.splunk.com/

Splunk Enterprise : version 6.1.9.
La version 6.1.9 est corrigée :
  http://www.splunk.com/

Splunk Enterprise : version 6.2.5.
La version 6.2.5 est corrigée :
  http://www.splunk.com/

Splunk Enterprise : versions 6.0.10.
Les versions 6.0.10 sont corrigées :
  http://www.splunk.com/

stunnel : version 5.20.
La version 5.20 est corrigée :
  https://www.stunnel.org/downloads.html

Synology DS/RS : version 5.2-5592 Update 1.
La version 5.2-5592 Update 1 est corrigée :
  https://www.synology.com/

Websense Web Security : version 7.8.2 HF 18.
La version 7.8.2 HF 18 est corrigée.

WinSCP : version 5.7.5.
La version 5.7.5 est corrigée :
  http://winscp.net/eng/download.php

X2Go Client : version 4.0.5.0.
La version 4.0.5.0 est corrigée :
  http://wiki.x2go.org/doku.php
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une veille cyber-sécurité. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.