L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

annonce de vulnérabilité informatique CVE-2015-4000

TLS : affaiblissement de Diffie-Hellman via Logjam

Synthèse de la vulnérabilité

Un attaquant, placé en Man-in-the-middle, peut forcer le client/serveur TLS à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Gravité de cette faille : 2/4.
Date création : 20/05/2015.
Date révision : 20/05/2015.
Références de ce bulletin : 1610582, 1647054, 1957980, 1958984, 1959033, 1959539, 1959745, 1960194, 1960418, 1960862, 1962398, 1962694, 1963151, 9010038, 9010039, 9010041, 9010044, BSA-2015-005, bulletinjan2016, bulletinjul2015, c04725401, c04760669, c04767175, c04770140, c04773119, c04773241, c04774058, c04778650, c04832246, c04918839, c04926789, CERTFR-2016-AVI-303, CTX216642, CVE-2015-4000, DLA-507-1, DSA-3287-1, DSA-3300-1, DSA-3688-1, FEDORA-2015-10047, FEDORA-2015-10108, FEDORA-2015-9048, FEDORA-2015-9130, FEDORA-2015-9161, FreeBSD-EN-15:08.sendmail, FreeBSD-SA-15:10.openssl, HPSBGN03399, HPSBGN03407, HPSBGN03411, HPSBGN03417, HPSBHF03433, HPSBMU03345, HPSBMU03401, HPSBUX03363, HPSBUX03388, HPSBUX03435, HPSBUX03512, JSA10681, Logjam, NetBSD-SA2015-008, NTAP-20150616-0001, NTAP-20150715-0001, NTAP-20151028-0001, openSUSE-SU-2015:1139-1, openSUSE-SU-2015:1209-1, openSUSE-SU-2015:1216-1, openSUSE-SU-2015:1277-1, openSUSE-SU-2016:0226-1, openSUSE-SU-2016:0255-1, openSUSE-SU-2016:0261-1, openSUSE-SU-2016:2267-1, PAN-SA-2016-0020, PAN-SA-2016-0028, RHSA-2015:1072-01, RHSA-2015:1185-01, RHSA-2015:1197-01, RHSA-2016:2054-01, RHSA-2016:2055-01, RHSA-2016:2056-01, SA111, SA40002, SA98, SB10122, SSA:2015-219-02, SSRT102180, SSRT102254, SSRT102964, SSRT102977, SUSE-SU-2015:1143-1, SUSE-SU-2015:1150-1, SUSE-SU-2015:1177-1, SUSE-SU-2015:1177-2, SUSE-SU-2015:1181-1, SUSE-SU-2015:1181-2, SUSE-SU-2015:1182-2, SUSE-SU-2015:1183-1, SUSE-SU-2015:1183-2, SUSE-SU-2015:1184-1, SUSE-SU-2015:1184-2, SUSE-SU-2015:1185-1, SUSE-SU-2015:1268-1, SUSE-SU-2015:1268-2, SUSE-SU-2015:1269-1, SUSE-SU-2015:1581-1, SUSE-SU-2016:0224-1, SUSE-SU-2018:1768-1, TSB16728, USN-2624-1, USN-2625-1, USN-2656-1, USN-2656-2, VIGILANCE-VUL-16950, VN-2015-007.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

L'algorithme Diffie-Hellman permet d'échanger des clés cryptographiques. La suite DHE_EXPORT utilise des nombres premiers de maximum 512 bits.

L'algorithme Diffie-Hellman est utilisé par TLS. Cependant, durant la négociation, un attaquant placé en Man-in-the-middle peut forcer TLS à utiliser DHE_EXPORT (même si des suites plus fortes sont disponibles).

Cette vulnérabilité peut ensuite être combinée avec VIGILANCE-VUL-16951.

Un attaquant, placé en Man-in-the-middle, peut donc forcer le client/serveur TLS à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Bulletin Vigil@nce complet... (Essai gratuit)

Ce bulletin de vulnérabilité concerne les logiciels ou systèmes comme Apache httpd, Blue Coat CAS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, DCFM Enterprise, Brocade Network Advisor, Brocade vTM, Clearswift Email Gateway, Debian, Summit, Fedora, FileZilla Server, FreeBSD, HPE BSM, HPE NNMi, HP Operations, HP-UX, AIX, DB2 UDB, IRAD, Security Directory Server, SPSS Modeler, Tivoli Storage Manager, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, Juniper J-Series, Junos OS, Junos Pulse, Juniper Network Connect, Juniper SBR, lighttpd, ePO, Firefox, NSS, MySQL Community, MySQL Enterprise, Data ONTAP 7-Mode, Snap Creator Framework, SnapManager, NetBSD, nginx, Nodejs Core, OpenSSL, openSUSE, openSUSE Leap, Solaris, Palo Alto Firewall PA***, PAN-OS, Percona Server, RealPresence Collaboration Server, RealPresence Distributed Media Application, RealPresence Resource Manager, Polycom VBP, Postfix, SSL (protocole), Pulse Connect Secure, Puppet, RHEL, JBoss EAP par Red Hat, Sendmail, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DS***, Synology RS***, Ubuntu, WinSCP.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte cyber-sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de serveur internet.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce cybersécurité.

Solutions pour cette menace

OpenSSL : version 1.0.2b.
La version 1.0.2b est corrigée :
  https://www.openssl.org/source/

OpenSSL : version 1.0.1n.
La version 1.0.1n est corrigée :
  https://www.openssl.org/source/

TLS : solution pour Logjam.
La solution consiste à désactiver DHE_EXPORT.
Par exemple, pour Apache httpd :
 - sélectionner des suites fortes dans SSLCipherSuite, ou
 - utiliser "!EXP" dans la liste.
Les détails sont indiqués dans les sources d'information.

AIX : patch pour OpenSSL (03/03/2016).
Un patch est disponible :
  ftp://aix.software.ibm.com/aix/efixes/security/openssl_fix17.tar

AIX : patch pour OpenSSL (15/07/2015).
Un patch est disponible :
  ftp://aix.software.ibm.com/aix/efixes/security/openssl_fix14.tar

AIX : patch pour Sendmail.
Un patch est disponible :
  ftp://aix.software.ibm.com/aix/efixes/security/sendmail_fix2.tar

Blue Coat : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

Blue Coat : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information.

Brocade : solution pour Logjam.
La solution est indiquée dans les sources d'information.

Citrix NetScaler Platform IPMI LOM : solution.
La solution est indiquée dans les sources d'information.

Citrix NetScaler : versions corrigées pour LOM Firmware.
Les versions corrigées sont indiquées dans les sources d'information.

Clearswift Email Gateway : version 4.2.1.
La version 4.2.1 est corrigée :
  http://www.clearswift.com/

Clearswift SECURE Email Gateway : version 3.8.8.
La version 3.8.8 est corrigée :
  http://web2.clearswift.com/support/msw/forums/topic.asp?TOPIC_ID=24581

Debian 7 : nouveaux paquetages nss.
De nouveaux paquetages sont disponibles :
  Debian 7 : nss 2:3.14.5-1+deb7u7

Debian 8 : nouveaux paquetages nss.
De nouveaux paquetages sont disponibles :
  Debian 8 : nss 2:3.26-1+debu8u1

Debian : nouveaux paquetages iceweasel.
De nouveaux paquetages sont disponibles :
  Debian 8 : iceweasel 31.8.0esr-1~deb8u1
  Debian 7 : iceweasel 31.8.0esr-1~deb7u1

Debian : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Debian 7 : openssl 1.0.1e-2+deb7u17
  Debian 8 : openssl 1.0.1k-3+deb8u1

Fedora : nouveaux paquetages nss.
De nouveaux paquetages sont disponibles :
  Fedora 21 : nss 3.19.1-1.0.fc21
  Fedora 22 : nss 3.19.1-1.0.fc22
  Fedora 20 : nss 3.19.1-1.0.fc20

Fedora : nouveaux paquetages openssl (22/06/2015).
De nouveaux paquetages sont disponibles :
  Fedora 22 : openssl 1.0.1k-10.fc22
  Fedora 21 : openssl 1.0.1k-10.fc21

FileZilla Server : version 0.9.53.
La version 0.9.53 est corrigée :
  https://filezilla-project.org/download.php?type=server

FreeBSD : patch pour openssl.
Un patch est disponible :
  FreeBSD 10.1 : https://security.FreeBSD.org/patches/SA-15:10/openssl-10.1.patch
  FreeBSD 9.3, 8.4 : https://security.FreeBSD.org/patches/SA-15:10/openssl-8.4.patch

FreeBSD : solution pour Logjam.
L'annonce indique comment configurer sendmail pour utiliser des paramètres Diffie-Hellman assez grand.
Des mises à jour du système sont aussi disponibles, les révisions correspondantes sont indiquées dans l'annonce.

HP BSM Connector : patch pour Logjam et Bar Mitzvah.
Un patch est disponible :
  BSMC 9.2x : https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01762681
  BSMC 10.0 : https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01758600?lang=en&cc=us&hpappid=113963_OSP_PRO_HPE

HP Network Node Manager i : patch pour OpenSSL.
Un patch est disponible dans les sources d'information.

HP Operations Agent Virtual Appliance : patch pour Logjam.
Un patch est disponible :
  https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01762721?lang=en&cc=us&hpappid=113963_OSP_PRO_HPE

HP Operations Manager for Unix : patch pour Logjam et Bar Mitzvah.
Un patch est disponible :
  https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01777542?lang=en&cc=us&hpappid=113963_OSP_PRO_HPE

HP Operations Manager for Windows : patch pour Logjam et Bar Mitzvah.
Un patch est disponible :
  https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01762684?lang=en&cc=us&hpappid=113963_OSP_PRO_HPE

HP Operations Manager i : patch pour Logjam.
Un patch est disponible :
  https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01758610

HP-UX avec Apache : contre-mesure pour logjam.
L'annonce indique comment interdire les algorithmes en cause dans la configuration de Apache.

HP-UX : contre-mesure pour Firefox/Thunderbird.
Une contre-mesure est indiquée dans la source d'information.

HP-UX : versions corrigées pour OpenSSL.
Les versions corrigées sont indiquées dans les sources d'information :
  OpenSSL_A.01.00.01p
  https://h20392.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=OPENSSL11I

HP-UX : Web Server Suite version 3.31.
Web Server Suite version 3.31 est corrigé :
  http://software.hp.com/
  HPUXWSATW331

HP-UX Web Server Suite : version 4.06.
La version 4.06 est corrigée :
  https://h20392.www2.hpe.com/portal/swdepot/displayProductInfo.do?productNumber=HPUXWSATW406

IBM DB2 : version 10.1 Fix Pack 6.
La version 10.1 Fix Pack 6 est corrigée.

IBM DB2 : version 10.5 Fix Pack 7.
La version 10.5 Fix Pack 7 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg24041243

IBM Rational Application Developer : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

IBM Security Directory Server : patch pour logjam.
Un patch est disponible dans les sources d'information pour les versions 5.2 et 5.1.1.

IBM Spectrum Protect Operations Center : solution pour Logjam.
La solution est indiquée dans les sources d'information.

IBM SPSS Modeler : versions corrigées pour IBM Java.
Les versions corrigées sont :
  14.2 Fix Pack 3 Interim Fix 025
  15.0 Fix Pack 3 Interim Fix 013
  16.0 Fix Pack 2 Interim Fix 003
  17.0 Fix Pack 1 Interim Fix 002

IBM Tivoli Storage Manager FastBack : contre-mesure pour logjam.
L'annonce de IBM indique comment désactiver les algorithmes problématiques dans la configuration du produit.

IBM Tivoli System Automation for Multiplatforms : patch pour Logjam.
Un patch est disponible dans les sources d'information.

IBM Tivoli Workload Scheduler : versions corrigées pour Logjam.
Les versions corrigées sont indiquées dans les sources d'information.

Juniper Junos : solution pour Logjam.
La solution est indiquée dans les sources d'information.

Juniper Pulse : solution pour OpenSSL.
La solution est indiquée dans les sources d'information.

McAfee ePO : patch pour Logjam.
Un patch est disponible :
  https://kc.mcafee.com/corporate/index?page=content&id=KB84878
  EPO469HF1080853.zip
  EPO5xHF1080544.zip

Mozilla Firefox : version 39.
La version 39 est corrigée :
  http://www.mozilla.org/en-US/firefox/organizations/all/
  http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/

MySQL : version 5.5.45.
La version 5.5.45 est corrigée :
  http://www.mysql.com/

MySQL : version 5.6.26.
La version 5.6.26 est corrigée :
  http://www.mysql.com/

NetApp Data : solution pour OpenSSL 06/2015.
Un patch est disponible :
  Data ONTAP Edge : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=923550
  Data ONTAP operating in 7-Mode : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=923548
  Data ONTAP SMI-S Agent : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=923545
  Snap Creator Framework : https://mysupport.netapp.com/NOW/download/software/snapcreator_framework/4.3P1/
  SnapManager for SAP win : http://mysupport.netapp.com/NOW/download/software/snapmanager_sap_win/3.4P2/
  SnapManager for SAP unix : http://mysupport.netapp.com/NOW/download/software/snapmanager_sap_unix/3.4P2/

NetApp SnapManager : patch pour Oracle Java.
Un patch est disponible :
  SnapManager for Oracle : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=959904
  SnapManager for SAP : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=959905

NetBSD : patch pour OpenSSL.
Un patch est disponible dans les sources d'information.

Node.js : version 0.12.5.
La version 0.12.5 est corrigée :
  https://nodejs.org/download/

NSS : version 3.19.2.
La version 3.19.2 est corrigée :
  http://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/NSS_3_19_2_RTM/src/

openSUSE 13.2 : nouveaux paquetages libressl.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : libressl 2.2.1-2.3.1

openSUSE 13.2 : nouveaux paquetages openldap2.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : libldap-2 4-2-2.4.39-8.9.1, openldap2 2.4.39-8.9.1

openSUSE 13 : nouveaux paquetages mariadb.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : mariadb 10.0.20-2.9.1
  openSUSE 13.1 : mariadb 5.5.44-4.1

openSUSE 13 : nouveaux paquetages mysql.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : libmysql56client18 5.6.25-2.3.1, mysql-community-server 5.6.25-2.3.1
  openSUSE 13.1 : libmysql56client18 5.6.25-7.4.1, mysql-community-server 5.6.25-7.4.1

openSUSE Leap 42.1 : nouveaux paquetages libtcnative-1-0.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : libtcnative-1-0 1.1.32-7.1

openSUSE : nouveaux paquetages openldap2.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : libldap-2_4 2-2.4.33-8.6.1
  openSUSE Leap 42.1 : libldap-2_4 2-2.4.41-11.1

openSUSE : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  openSUSE 13.2 : libopenssl1_0_0 1.0.1k-2.24.1
  openSUSE 13.1 : libopenssl1_0_0 1.0.1k-11.72.1

PAN-OS : versions 5.0.20, 5.1.13, 6.0.14, 6.1.13, 7.0.9 et 7.1.4.
Les versions 5.0.20, 5.1.13, 6.0.14, 6.1.13, 7.0.9 et 7.1.4 sont corrigées.

Percona Server : version 5.5.45-37.4.
La version 5.5.45-37.4 est corrigée :
  https://www.percona.com/downloads/Percona-Server-5.5/

Polycom : versions corrigées pour Logjam.
Les versions corrigées sont indiquées dans les sources d'information.

Puppet Labs Puppet : versions corrigées pour OpenSSL.
Les versions suivantes sont corrigées :
  Puppet Enterprise 3.8.1
  Puppet Agent 1.1.1

Red Hat JBoss Enterprise Application Platform : version 6.4.10.
La version 6.4.10 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=appplatform&downloadType=securityPatches&version=6.4

RHEL 5 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 5 : openssl 0.9.8e-36.el5_11

RHEL : nouveaux paquetages nss.
De nouveaux paquetages sont disponibles :
  RHEL 6 : nss 3.19.1-3.el6_6
  RHEL 7 : nss 3.19.1-3.el7_1

RHEL : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssl 1.0.1e-30.el6_6.9
  RHEL 7 : openssl 1.0.1e-42.el7_1.6

sendmail : version 8.15.2.
La version 8.15.2 est corrigée :
  ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.15.2.tar.gz

Slackware : nouveaux paquetages mozilla-nss.
De nouveaux paquetages sont disponibles :
  Slackware 14.0 : mozilla-nss 3.19.2-*-1_slack14.0
  Slackware 14.1 : mozilla-nss 3.19.2-*-1_slack14.1

Solaris : patch pour Third Party 03/2016.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Solaris : patch pour Third Party (07/2015).
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

SUSE LE 10 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : openssl 0.9.8a-18.92.1

SUSE LE 11 : nouveaux paquetages MySQL.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : libmysql55client18 5.5.43-0.9.1, mysql 5.5.43-0.9.1

SUSE LE 11 : nouveaux paquetages OpenSSL 0.9.8.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : openssl 0.9.8j-0.72.1

SUSE LE 11 SP3 : nouveaux paquetages openssh.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : openssh 6.2p2-0.21.1

SUSE LE 11 SP4 : nouveaux paquetages nagios-nrpe.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP4 : nagios-nrpe 2.12-24.4.10.3.3

SUSE LE 12 : nouveaux paquetages openldap2.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 SP1 : libldap-2 4-2-2.4.41-18.13.1, openldap2 2.4.41-18.13.4
  SUSE LE 12 RTM : libldap-2 4-2-2.4.41-18.13.1, openldap2 2.4.41-18.13.4

SUSE LE 12 : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 : libopenssl1_0_0 1.0.1i-25.1, libopenssl0_9_8 0.9.8j-78.1

SUSE LE : nouveaux paquetages MozillaFirefox.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : MozillaFirefox 31.8.0esr-0.10.1, mozilla-nspr 4.10.8-0.5.1, mozilla-nss 3.19.2_CKBI_1.98-0.10.1
  SUSE LE 12 : MozillaFirefox 31.8.0esr-37.3, mozilla-nspr 4.10.8-3.1, mozilla-nss 3.19.2_CKBI_1.98-21.1

SUSE LE : nouveaux paquetages OpenSSL 0.9.7.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : compat-openssl097g 0.9.7g-146.22.31.1
  SUSE LE 10 : compat-openssl097g 0.9.7g-13.31.1

SUSE LE Security Module 11 : nouveaux paquetages OpenSSL 1.0.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : openssl1 1.0.1g-0.30.1

Synology DS214, RS214 : version 5.2-5592.
La version 5.2-5592 est corrigée.

Ubuntu : nouveaux paquetages apache2.2-bin.
De nouveaux paquetages sont disponibles :
  Ubuntu 12.04 LTS : apache2.2-bin 2.2.22-1ubuntu1.9

Ubuntu : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.04 : firefox 39.0+build5-0ubuntu0.15.04.1
  Ubuntu 14.10 : firefox 39.0+build5-0ubuntu0.14.10.1
  Ubuntu 14.04 LTS : firefox 39.0+build5-0ubuntu0.14.04.1
  Ubuntu 12.04 LTS : firefox 39.0+build5-0ubuntu0.12.04.2

Ubuntu : nouveaux paquetages openssl.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.04 : libssl1.0.0 1.0.1f-1ubuntu11.1
  Ubuntu 14.10 : libssl1.0.0 1.0.1f-1ubuntu9.5
  Ubuntu 14.04 LTS : libssl1.0.0 1.0.1f-1ubuntu2.12
  Ubuntu 12.04 LTS : libssl1.0.0 1.0.1-4ubuntu5.28

WebSphere AS : patch pour logjam.
Un patch est disponible dans les sources d'information.

WebSphere MQ : contre-mesure pour Logjam.
Une contre-mesure consiste à n'autoriser que le jeu d'algorithmes "suite B" définie par la NSA.

WinSCP : version 5.7.4.
La version 5.7.4 est corrigée :
  http://winscp.net/eng/download.php
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une veille de vulnérabilité de réseau. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.