CERT-XMCO : Une vulnérabilité critique a été découverte au sein d’OpenSSL
avril 2014 par XMCO PARTNERS
* Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping
– Date : 08 Avril 2014
– Criticité : Urgente
– Plateforme : Toutes
– Programme : OpenSSL
– Exploitation : Distante
– Dommage : Vol d’informations
– Description :
Une vulnérabilité critique a été découverte au sein de la librairie OpenSSL lundi 7 avril au soir (voir CXA-2014-1143).
L’exploitation de cette vulnérabilité permet à un attaquant d’obtenir des informations contenues dans la mémoire d’un serveur (dans la limite de 64kb) en envoyant des requêtes spécialement conçues. Cette faille peut donc être exploitée afin d’obtenir le contenu d’un message sécurisé, un numéro de transaction par carte de crédit, des identifiants et mots de passe utilisateur ainsi que potentiellement des clés de chiffrements utilisées au sein de SSL.
Un code d’exploitation a été publié durant la nuit (voir CXA-2014-1144). Il est fort probable que des pirates exploitent cette vulnérabilité dans les prochains jours.
Le CERT-XMCO recommande donc l’installation de la dernière version d’OpenSSL.
– Vulnérable :
* OpenSSL 1.0.1 <= 1.0.1f
* OpenSSL 1.0.2 <= 1.0.2-beta1
– Référence :
https://www.openssl.org/news/secadv_20140407.txt
http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db902
http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html
http://s3.jspenguin.org/ssltest.py
https://cert.xmco.fr/veille/index.xmco?nv=CXA-2014-1143
https://cert.xmco.fr/veille/index.xmco?nv=CXA-2014-1144
https://rhn.redhat.com/errata/RHSA-2014-0376.html
https://access.redhat.com/security/cve/CVE-2014-0160
http://lists.centos.org/pipermail/centos-announce/2014-April/020248.html
https://www.debian.org/security/2014/dsa-2896
http://www.ubuntu.com/usn/usn-2165-1/
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
– Correction :
Le CERT-XMCO recommande l’installation de la version 1.0.1g d’OpenSSL disponible sur le site de l’éditeur à l’adresse suivante :
http://www.openssl.org/source/
Il est également possible de se prémunir contre l’exploitation de cette vulnérabilité en recompilant OpenSSL avec l’option -DOPENSSL_NO_HEARTBEATS.
Plusieurs distributions Linux ont mis à disposition un correctif de sécurité : RedHat, Centos, Debian ou encore Ubuntu.
– Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2014-1142