L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilité de TLS : déchiffrement de RC4 via Bar Mitzvah

Synthèse de la vulnérabilité

Un attaquant peut utiliser l'attaque Bar Mitzvah sur TLS, afin d'obtenir des informations sensibles chiffrées par RC4.
Gravité de cette vulnérabilité informatique : 2/4.
Date création : 27/03/2015.
Références de cette annonce : 1450666, 1610582, 1647054, 1882708, 1883551, 1883553, 1902260, 1903541, 1960659, 1963275, 1967498, 523628, 7014463, 7022958, 7045736, 9010041, 9010044, Bar Mitzvah, BSA-2015-007, c04708650, c04767175, c04770140, c04772305, c04773119, c04773241, c04777195, c04777255, c04832246, c04926789, c05085988, c05336888, cpujan2018, cpuoct2017, CVE-2015-2808, DSA-2018-124, HPSBGN03350, HPSBGN03393, HPSBGN03399, HPSBGN03407, HPSBGN03414, HPSBGN03415, HPSBGN03580, HPSBHF03673, HPSBMU03345, HPSBMU03401, HPSBUX03435, HPSBUX03512, NTAP-20150715-0001, NTAP-20151028-0001, RHSA-2015:1020-01, RHSA-2015:1021-01, RHSA-2015:1091-01, SOL16864, SSRT102254, SSRT102977, SUSE-SU-2015:1073-1, SUSE-SU-2015:1085-1, SUSE-SU-2015:1086-1, SUSE-SU-2015:1086-2, SUSE-SU-2015:1086-3, SUSE-SU-2015:1086-4, SUSE-SU-2015:1138-1, SUSE-SU-2015:1161-1, VIGILANCE-VUL-16486, VN-2015-004.

Description de la vulnérabilité

Lors de l'initialisation d'une session TLS, le client et le serveur négocient des algorithmes cryptographiques. L'algorithme RC4 peut être choisi pour chiffrer.

Pour certaines clés faibles (une sur 2^24), la faiblesse "Invariance Weakness" permet de prédire les deux bits les plus faibles (LSB - Least Significant Bit) des 100 premiers octets chiffrés avec RC4. Le premier message TLS chiffré étant "Finished" (36 octets), un attaquant peut alors prédire les LSB de 64 octets.

Un attaquant peut donc utiliser l'attaque Bar Mitzvah sur TLS, afin d'obtenir des informations sensibles chiffrées par RC4.
Bulletin Vigil@nce complet... (Essai gratuit)

Cet avis de menace informatique concerne les logiciels ou systèmes comme DCFM Enterprise, Brocade Network Advisor, Brocade vTM, Avamar, Black Diamond, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, HPE BSM, HP Data Protector, HPE NNMi, HP Operations, SiteScope, HP Switch, HP-UX, AIX, DB2 UDB, Domino, Notes, IRAD, Security Directory Server, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, SnapManager, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle iPlanet Web Server, Oracle OIT, Oracle Virtual Directory, WebLogic, Oracle Web Tier, SSL (protocole), RHEL, SUSE Linux Enterprise Desktop, SLES.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin cyber-sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte de faille.

Solutions pour cette menace

TLS : contre-mesure pour Bar Mitzvah.
Une contre-mesure consiste à désactiver RC4 sur les clients/serveurs TLS.
Par exemple la directive SSLCipherSuite de Apache httpd doit contenir "!RC4".

AIX : solution pour Bar Mitzvah.
La solution est indiquée dans les sources d'information.

Brocade : solution pour RC4.
La solution est indiquée dans les sources d'information.

Dell EMC Avamar Proxy : solution pour Jetty.
La solution est indiquée dans les sources d'information.

Extreme Networks : solution pour Bar Mitzvah.
La solution est indiquée dans les sources d'information.

F5 BIG-IP : versions corrigées pour Bar Mitzvah.
Les versions corrigées sont indiquées dans les sources d'information.

HP BSM Connector : patch pour Logjam et Bar Mitzvah.
Un patch est disponible :
  BSMC 9.2x : https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01762681
  BSMC 10.0 : https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01758600?lang=en&cc=us&hpappid=113963_OSP_PRO_HPE

HP Data Protector : versions 7.03_108, 8.15 et 9.06.
Les versions 7.03_108, 8.15 et 9.06 sont corrigées :
  https://softwaresupport.hpe.com/

HP Network Node Manager i : patch pour OpenSSL.
Un patch est disponible dans les sources d'information.

HP Operations Agent : patch pour Bar Mitzvah.
Un patch est disponible :
  https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01758900?lang=en&cc=us&hpappid=113963_OSP_PRO_HPE

HP Operations Agent Virtual Appliance : patch pour Bar Mitzvah.
Un patch est disponible :
  https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01762720?lang=en&cc=us&hpappid=113963_OSP_PRO_HPE

HP Operations Manager for Unix : patch pour Logjam et Bar Mitzvah.
Un patch est disponible :
  https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01777542?lang=en&cc=us&hpappid=113963_OSP_PRO_HPE

HP Operations Manager for Windows : patch pour Logjam et Bar Mitzvah.
Un patch est disponible :
  https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01762684?lang=en&cc=us&hpappid=113963_OSP_PRO_HPE

HP Operations Manager i : solution pour Bar Mitzvah.
La solution est indiquée dans les sources d'information.

HP SiteScope : solution pour Bar Mitzvah.
La solution est indiquée dans les sources d'information :
  https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01658992

HP Switch : solution pour SSL.
La solution est indiquée dans les sources d'information.

HP-UX : Web Server Suite version 3.31.
Web Server Suite version 3.31 est corrigé :
  http://software.hp.com/
  HPUXWSATW331

HP-UX Web Server Suite : version 4.06.
La version 4.06 est corrigée :
  https://h20392.www2.hpe.com/portal/swdepot/displayProductInfo.do?productNumber=HPUXWSATW406

IBM AIX : patch pour Java.
L'annonce indique les URLs du patch applicable pour chaque version du SDK.

IBM DB2 : version 10.1 Fix Pack 5.
La version 10.1 Fix Pack 5 est corrigée :
  http://www-304.ibm.com/support/docview.wss?uid=swg24040170#Description

IBM DB2 : version 10.1 Fix Pack 6.
La version 10.1 Fix Pack 6 est corrigée.

IBM DB2 : version 10.5 Fix Pack 6.
La version 10.5 Fix Pack 6 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg24040522

IBM DB2 : version 10.5 Fix Pack 7.
La version 10.5 Fix Pack 7 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg24041243

IBM DB2 : version 9.7 Fix Pack 11.
La version 9.7 Fix Pack 11 est corrigée :
  http://www-01.ibm.com/support/docview.wss?uid=swg24040935

IBM Notes, Domino : patch pour Java 6.
Un patch est disponible :
  version 9.0.1.x : http://www-01.ibm.com/support/docview.wss?uid=swg21657963
  version 8.5.3 : http://www-01.ibm.com/support/docview.wss?uid=swg21663874

IBM Rational Application Developer : version 9.0.1.2.
La version 9.0.1.2 est corrigée :
  http://www.ibm.com/support/docview.wss?uid=swg24039952

IBM Security Directory Server : patch.
Un patch est disponible dans les sources d'information pour les versions 6.0 à 6.4.

IBM Tivoli Storage Manager for Virtual Environments : patch pour IBM Java.
Un patch est indiqué dans les sources d'information.

IBM Tivoli Workload Scheduler : contre-mesure pour Bar Mitzvah.
Une contre-mesure est indiquée dans la source d'information.

NetApp SnapManager : patch pour Oracle Java.
Un patch est disponible :
  SnapManager for Oracle : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=959904
  SnapManager for SAP : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=959905

NetIQ Sentinel : version 7.4.0.0 Build 2303 A.
La version 7.4.0.0 Build 2303 A est corrigée :
  https://download.novell.com/Download?buildid=HN3Bit9V_zo~

Oracle Communications : CPU de janvier 2018.
Un Critical Patch Update est disponible :
  http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html

Oracle Fusion Middleware : CPU de octobre 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2296870.1

Red Hat Satellite 5 : nouveaux paquetages java-1.6.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.6.0-ibm 1.6.0.16.4-1jpp.1.el5
  RHEL 6 : java-1.6.0-ibm 1.6.0.16.4-1jpp.1.el6_6

RHEL : nouveaux paquetages java-1.5.0-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 5 : java-1.5.0-ibm 1.5.0.16.10-1jpp.1.el5
  RHEL 6 : java-1.5.0-ibm 1.5.0.16.10-1jpp.1.el6_6

RHEL : nouveaux paquetages java-1.7.1-ibm.
De nouveaux paquetages sont disponibles :
  RHEL 6 : java-1.7.1-ibm 1.7.1.3.0-1jpp.2.el6_6
  RHEL 7 : java-1.7.1-ibm 1.7.1.3.0-1jpp.2.el7_1

SUSE LE 10 : nouveaux paquetages IBM Java.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : java-1_6_0-ibm 1.6.0_sr16.4-0.8.1

SUSE LE 12 : nouveaux paquetages java-1_6_0-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 : java-1_6_0-ibm 1.6.0_sr16.4-15.1

SUSE LE 12 : nouveaux paquetages java-1_7_1-ibm.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 : java-1_7_1-ibm 1.7.1_sr3.0-11.1

SUSE LE : nouveaux paquetages IBM Java.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : java-1_5_0-ibm 1.5.0_sr16.10-0.6.1
  SUSE LE 11 : java-1_6_0-ibm 1.6.0_sr16.4-0.3.1, java-1_7_0-ibm 1.7.0_sr9.0-0.7.1

WebSphere AS : patch pour Java.
Plusieurs patchs sont disponibles dans les sources d'information, à choisir selon la version de WebSphere AS.

WebSphere AS : version 7.0.0.39.
La version 7.0.0.39 est corrigée :
  http://www.ibm.com/support/docview.wss?uid=swg24041013

WebSphere AS : version 8.0.0.11.
La version 8.0.0.11 est corrigée :
  http://www.ibm.com/support/docview.wss?uid=swg24040425

WebSphere MQ : contre-mesure pour Bar Mitzvah.
Une contre-mesure est indiquée dans la source d'information.
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une veille de vulnérabilités informatiques. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.