Rechercher Contactez-nous

Suivez-nous sur Twitter

Les événements

30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

Abonnez-vous gratuitement à notre NEWSLETTER

Vulnérabilités

CERT-XMCO : Une vulnérabilité critique a été découverte au sein d’OpenSSL

avril 2014 par XMCO PARTNERS

* Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping

– Date : 08 Avril 2014

– Criticité : Urgente

– Plateforme : Toutes

– Programme : OpenSSL

– Exploitation : Distante

– Dommage : Vol d’informations

– Description :

Une vulnérabilité critique a été découverte au sein de la librairie OpenSSL lundi 7 avril au soir (voir CXA-2014-1143).

L’exploitation de cette vulnérabilité permet à un attaquant d’obtenir des informations contenues dans la mémoire d’un serveur (dans la limite de 64kb) en envoyant des requêtes spécialement conçues. Cette faille peut donc être exploitée afin d’obtenir le contenu d’un message sécurisé, un numéro de transaction par carte de crédit, des identifiants et mots de passe utilisateur ainsi que potentiellement des clés de chiffrements utilisées au sein de SSL.

Un code d’exploitation a été publié durant la nuit (voir CXA-2014-1144). Il est fort probable que des pirates exploitent cette vulnérabilité dans les prochains jours.

Le CERT-XMCO recommande donc l’installation de la dernière version d’OpenSSL.

– Vulnérable :
* OpenSSL 1.0.1 <= 1.0.1f
* OpenSSL 1.0.2 <= 1.0.2-beta1

– Référence :

https://www.openssl.org/news/secadv_20140407.txt

http://heartbleed.com/

http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db902

http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping/

http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

http://possible.lv/tools/hb/

http://s3.jspenguin.org/ssltest.py

https://cert.xmco.fr/veille/index.xmco?nv=CXA-2014-1143

https://cert.xmco.fr/veille/index.xmco?nv=CXA-2014-1144

https://rhn.redhat.com/errata/RHSA-2014-0376.html

https://access.redhat.com/security/cve/CVE-2014-0160

http://lists.centos.org/pipermail/centos-announce/2014-April/020248.html

https://www.debian.org/security/2014/dsa-2896

http://www.ubuntu.com/usn/usn-2165-1/

– Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160

– Correction :

Le CERT-XMCO recommande l’installation de la version 1.0.1g d’OpenSSL disponible sur le site de l’éditeur à l’adresse suivante :
http://www.openssl.org/source/

Il est également possible de se prémunir contre l’exploitation de cette vulnérabilité en recompilant OpenSSL avec l’option -DOPENSSL_NO_HEARTBEATS.

Plusieurs distributions Linux ont mis à disposition un correctif de sécurité : RedHat, Centos, Debian ou encore Ubuntu.

– Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2014-1142