Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Une vulnérabilité critique a été découverte au sein d’OpenSSL

avril 2014 par XMCO PARTNERS

* Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping

- Date : 08 Avril 2014

- Criticité : Urgente

- Plateforme : Toutes

- Programme : OpenSSL

- Exploitation : Distante

- Dommage : Vol d’informations

- Description :

Une vulnérabilité critique a été découverte au sein de la librairie OpenSSL lundi 7 avril au soir (voir CXA-2014-1143).

L’exploitation de cette vulnérabilité permet à un attaquant d’obtenir des informations contenues dans la mémoire d’un serveur (dans la limite de 64kb) en envoyant des requêtes spécialement conçues. Cette faille peut donc être exploitée afin d’obtenir le contenu d’un message sécurisé, un numéro de transaction par carte de crédit, des identifiants et mots de passe utilisateur ainsi que potentiellement des clés de chiffrements utilisées au sein de SSL.

Un code d’exploitation a été publié durant la nuit (voir CXA-2014-1144). Il est fort probable que des pirates exploitent cette vulnérabilité dans les prochains jours.

Le CERT-XMCO recommande donc l’installation de la dernière version d’OpenSSL.

- Vulnérable :
* OpenSSL 1.0.1 <= 1.0.1f
* OpenSSL 1.0.2 <= 1.0.2-beta1

- Référence :

https://www.openssl.org/news/secadv...

http://heartbleed.com/

http://git.openssl.org/gitweb/?p=op...

http://arstechnica.com/security/201...

http://blog.existentialize.com/diag...

http://possible.lv/tools/hb/

http://s3.jspenguin.org/ssltest.py

https://cert.xmco.fr/veille/index.x...

https://cert.xmco.fr/veille/index.x...

https://rhn.redhat.com/errata/RHSA-...

https://access.redhat.com/security/...

http://lists.centos.org/pipermail/c...

https://www.debian.org/security/201...

http://www.ubuntu.com/usn/usn-2165-1/

- Référence CVE :

http://cve.mitre.org/cgi-bin/cvenam...

- Correction :

Le CERT-XMCO recommande l’installation de la version 1.0.1g d’OpenSSL disponible sur le site de l’éditeur à l’adresse suivante : http://www.openssl.org/source/

Il est également possible de se prémunir contre l’exploitation de cette vulnérabilité en recompilant OpenSSL avec l’option -DOPENSSL_NO_HEARTBEATS.

Plusieurs distributions Linux ont mis à disposition un correctif de sécurité : RedHat, Centos, Debian ou encore Ubuntu.

- Lien extranet XMCO :

https://cert.xmco.fr/veille/client/...




Voir les articles précédents

    

Voir les articles suivants