Pages: [1] 2 3   En bas

Auteur Sujet: Vulnérabilité dans OpenSSL  (Lu 9991 fois)

0 Membres et 1 Invité sur ce sujet

corrector

  • Invité
Vulnérabilité dans OpenSSL
« le: 09 avril 2014 à 15:14:03 »
BULLETIN D'ALERTE DU CERT-FR

1 - Risque(s)

contournement de la politique de sécurité
atteinte à la confidentialité des données

2 - Systèmes affecté(s)

OpenSSL 1.0.1, version 1.0.1f et antérieures
OpenSSL 1.0.2-beta1

3 - Résumé

Une vulnérabilité a été découverte dans OpenSSL. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

4 - Recommandations

Le CERT-FR recommande de mettre à jour les installations d'OpenSSL vulnérables. De plus, il est nécessaire de relancer les services susceptibles d'employer une ancienne version de la bibliothèque (notamment les serveurs Web et de messagerie électronique).
Après mise à jour d'OpenSSL, pour déterminer les services à redémarrer, il est possible d'employer sous Linux la commande ci-après : lsof | grep libssl | grep DEL

Néanmoins, cette commande ne permet pas de repérer les éventuels services compilés avec OpenSSL en statique.

Il est également recommandé, en cas de suspicion de compromission, de révoquer les certificats utilisés et de générer de nouvelles clés de chiffrement.

5 - Documentation

Bulletin de sécurité OpenSSL du 07 avril 2014
https://www.openssl.org/news/secadv_20140407.txt
Référence CVE CVE-2014-0160
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
Description de la vulnérabilité
http://heartbleed.com/


Source : http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-003/index.html
IP archivée

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 607
  • FTTH orange
Vulnérabilité dans OpenSSL
« Réponse #1 le: 09 avril 2014 à 15:27:16 »
Code: [Sélectionner]
aptitude versions openssl

Package openssl:
p   1.0.1e-3ubuntu1                    saucy          500
i   1.0.1e-3ubuntu1.1                                 100
p   1.0.1e-3ubuntu1.2                  saucy-security 500
je pense que je suis dans la vulnérabilité donc?

ps: mint16
IP archivée

Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 677
  • WOOHOO !
    • OrneTHD
Vulnérabilité dans OpenSSL
« Réponse #2 le: 09 avril 2014 à 15:44:33 »
Citation de: butler_fr le 09 avril 2014 à 15:27:16
je pense que je suis dans la vulnérabilité donc?

ps: mint16

Teste avec ce site, tu seras rapidement fixé si vulnérable ou non :

http://filippo.io/Heartbleed/#lafibre.info
IP archivée

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 607
  • FTTH orange
Vulnérabilité dans OpenSSL
« Réponse #3 le: 09 avril 2014 à 15:53:41 »
du coté de mon "serveur" sous debian weezhy après un redémarrage d'apache2 c'est bon!

et pourtant:
Code: [Sélectionner]
Paquet openssl :
p   1.0.1e-2+deb7u4                    stable         500
i   1.0.1e-2+deb7u6                    stable         500
IP archivée

Zugol

  • Abonné Orange Fibre
  • *
  • Messages: 20
  • Antony (92)
Vulnérabilité dans OpenSSL
« Réponse #4 le: 09 avril 2014 à 16:03:44 »
Bonjour à tous.

Le DSM 5.0 Update 1 de Synology semble poser problème (testé en utilisant le lien proposé quelques posts plus haut). En tous cas pour le DS710+ (Processeur x86).

Sinon ça semble OK pour les serveur Ubuntu 12.04 LTS maintenus à jour.

UPDATE : Merci, OPTIX, pour le lien  :)
IP archivée

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 676
  • La Madeleine (59)
Vulnérabilité dans OpenSSL
« Réponse #5 le: 09 avril 2014 à 17:01:50 »
Faut pas oublier de recharger les programmes qui utilisent la libssl, après la mise à jour
Utiliser lsof et grep pour savoir lesquel (ou utiliser Debian :troll:)
IP archivée

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 607
  • FTTH orange
Vulnérabilité dans OpenSSL
« Réponse #6 le: 09 avril 2014 à 17:03:20 »
debian recharge effectivement quasiment tous les services qui l'utilisent

par contre dans la liste il manquait quand même:
apache2 et ssh
IP archivée

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 304
  • Chelles (77)
    • L'antre de la bête
Vulnérabilité dans OpenSSL
« Réponse #7 le: 09 avril 2014 à 17:49:00 »
paquet debian-goodies --> checkrestart
IP archivée

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 607
  • FTTH orange
Vulnérabilité dans OpenSSL
« Réponse #8 le: 09 avril 2014 à 18:09:51 »
ah c'est bien ça!
bon par contre il faut faire le redémarrage manuellement (ou alors je n'ai pas trouvé)
IP archivée

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
Vulnérabilité dans OpenSSL
« Réponse #9 le: 09 avril 2014 à 19:15:45 »
Cette faille a fait pas mal de bruit sur les réseaux.

Un exemple d'exploitation sur un gros site :

Mark Loman ‏@markloman
Do not login to Yahoo! The OpenSSL bug #heartbleed allows extraction of usernames and plain passwords! http://pic.twitter.com/OuF3FM10GP



Le xkcd qui vient de paraître :



Il y a eu des articles dans beaucoup de journaux en ligne, et pas mal de sites importants affectés (notamment banques, webmails, boutiques)...
IP archivée

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 304
  • Chelles (77)
    • L'antre de la bête
Vulnérabilité dans OpenSSL
« Réponse #10 le: 09 avril 2014 à 19:35:16 »
Citation de: butler_fr le 09 avril 2014 à 18:09:51
ah c'est bien ça!
bon par contre il faut faire le redémarrage manuellement (ou alors je n'ai pas trouvé)
ouaip mais au moins c'est généralement fiable.
IP archivée

Polynesia

  • Abonné Orange Fibre
  • *
  • Messages: 999
  • FTTH 100/100 - Alençon (61)
    • Développeur web en devenir (en construction)
Vulnérabilité dans OpenSSL
« Réponse #11 le: 09 avril 2014 à 19:43:16 »
celle vulnérabilité touche juste les serveurs ou aussi les particuliers ?

Firefox 29 beta 6 et windows 8.1 pro ?
IP archivée
Pages: [1] 2 3   En haut