Vulnérabilité « Heartbleed » dans OpenSSL

Numéro : AL14-005
Date : 11 avril 2014

Objet

L'objet de la présente alerte est d'attirer l'attention sur une vulnérabilité dans OpenSSL que des attaquants peuvent exploiter pour exposer des données privées.

Évaluation

Le CCRIC est au courant d'une vulnérabilité découverte récemment dans la mise en œuvre du module de pulsation Heartbeat des protocoles TLS et Datagram TLS de l'outil de chiffrement OpenSSL. Sans que la victime n'ait à intervenir, l'attaquant peut exploiter cette vulnérabilité à distance pour intercepter le trafic de données sécurisé. Il peut ainsi révéler les justificatifs d'identité de la victime, y compris ses mots de passe et ses clés de chiffrement secrètes. Cette faille permet à l'attaquant d'exploiter des applications vulnérables pour extraire le contenu de la mémoire de l'ordinateur de la victime par tranches de 64 Ko et aussi souvent que nécessaire pour obtenir ses données privées.

Référence CVE : CVE-2014-0160

Versions touchées : OpenSSL, versions 1.0.1 à 1.0.1f et version bêta 1.0.2. La vulnérabilité a été corrigée dans OpenSSL 1.0.1g, mais il n'y a toujours pas de correctif pour la version bêta 1.0.2 à l'heure actuelle.

De nombreux fournisseurs ont commencé à diffuser leurs correctifs. Consultez le site Web de votre fournisseur pour savoir comment corriger la vulnérabilité. Vous trouverez ci-après une liste partielle des fournisseurs qui ont signalé le problème. Les liens ci-dessous permettent d'accéder à la liste exhaustive des fournisseurs :
http://www.kb.cert.org/vuls/id/720951
https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=720951&SearchOrder=4.

Distributions Linux et BSD vulnérables :

Red Hat Enterprise Linux 6.5 (OpenSSL 1.0.1e)
Debian Wheezy (version 1.0.1e-2+deb7u5 corrigée)
Ubuntu 12.04 LTS, versions 13.04 et 13.10
Gentoo Linux
Slackware, versions 14.0, 14.1 et actuelle
OpenBSD 5.3 ja 5.4
FreeBSD, versions 10.x
NetBSD, versions 6.1 à 6.1.3 ja 6.0 à 6.0.4
DragonflyBSD 3.6
Mandriva Business Server 1

Logiciels exploitant une version vulnérable d'OpenSSL :

Cisco AnyConnect Secure Mobility Client pour iOS
Cisco Desktop Collaboration Experience DX650
Téléphones IP Cisco Unified de la série 7800
Téléphones IP Cisco Unified, modèle 8961
Téléphones IP Cisco Unified, modèle 9951
Téléphones IP Cisco Unified, modèle 9971
Cisco TelePresence Video Communication Server (VCS)
Serveurs lames Cisco IOS XECisco UCS de la série B
Serveurs autonomes sur bâti Cisco UCS de la série C
Cisco Unified Communication Manager (UCM) 10.0
FortiGate FortiOS 5.0.5 ja 5.0.6
Système d'exploitation Junos 13.3R1
Juniper Odyssey Client, versions 5.6r5 et plus récentes
Juniper SSL VPN (I-VEOS), versions 7.4r1 et plus récentes
Juniper SSL VPN (I-VEOS), versions 8.0r1 et plus récentes
Juniper UAC, versions 4.4r1 et plus récentes
Juniper UAC, versions 5.0r1 et plus récentes
Juniper Junos Pulse, versions pour ordinateurs de bureau 5.0r1 et plus récentes
Juniper Junos Pulse, versions pour ordinateurs de bureau 4.0r5 et plus récentes
Juniper Network Connect pour Windows, versions 7.4R5 à 7.4R9.1 et 8.0R1 à 8.0R3.1
Juniper Junos Pulse (mobile), versions Android 4.2R1 et plus récentes
Juniper Junos Pulse (mobile) pour iOS, version 4.2R1
F5 BIG-IP LTM, versions 11.5.0 à 11.5.1
F5 BIG-IP AAM, versions 11.5.0 à 11.5.1
F5 BIG-IP AFM, versions 11.5.0 à 11.5.1
F5 BIG-IP Analytics, versions 11.5.0 à 11.5.1
F5 BIG-IP APM, versions 11.5.0 à 11.5.1
F5 BIG-IP ASM, versions 11.5.0 à 11.5.1
F5 BIG-IP GTM, versions 11.5.0 à 11.5.1
F5 BIG-IP Link Controller, 11.5.0 à 11.5.1
F5 BIG-IP PEM, versions 11.5.0 à 11.5.1
F5 BIG-IP PSM, versions 11.5.0 à 11.5.1
F5 BIG-IP Edge Client pour Apple iOS, versions 2.0.0 à 2.0.1 ja 1.0.5
F5 BIG-IP Edge Client pour Linux, versions 7080 à 7101
F5 BIG-IP Edge Client pour MAC OS X, versions 7080 à 7101 ja 6035 à 7071
F5 BIG-IP Edge Client pour Windows, versions 7080 à 7101 ja 6035 à 7071
OpenVPN, versions 2.3-rc2-I001 à 2.3.2-I003
Aruba ArubaOS, versions 6.3.x et 6.4.x
Aruba ClearPass, versions 6.1.x, 6.2.x et 6.3.x
Viscosity, versions antérieures à 1.4.8
WatchGuard XTM ja XCS, versions antérieures à 11.8.3 CSP
Blue Coat Content Analysis System, versions 1.1.1.1 à 1.1.5.1
Blue Coat Malware Analysis Appliance, version 1.1.1
Blue Coat ProxyAV, versions 3.5.1.1 à 3.5.1.6
Blue Coat ProxySG, versions 6.5.1.1 à 6.5.3.5
Blue Coat SSL Visibility 3.7.0
Jolla
Android 4.1.1

Mesure suggérée

Le CCRIC recommande aux administrateurs de système de tester les mises à jour publiées par le fournisseur et de les appliquer aux plateformes touchées.

Références

Avis AV14-017 du CCRIC : Vulnérabilité dans OpenSSL
http://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/2014/av14-017-fra.aspx

US-CERT Alert (TA14-098A) OpenSSL 'Heartbleed' vulnerability (CVE-2014-0160)
http://www.us-cert.gov/ncas/alerts/TA14-098A

ICS-CERT Alert on OpenSSL Vulnerability
http://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-099-01

NCSC-FI Advisory on OpenSSL
https://www.cert.fi/en/reports/2014/vulnerability788210.html

CERT-UK Heartbleed Bug
https://www.cert.gov.uk/resources/advisories/heartbleed-bug/

Centre antifraude du Canada
http://www.antifraudcentre-centreantifraude.ca/francais/home.html

Site Pensez cybersécurité de Sécurité publique Canada
http://www.pensezcybersecurite.gc.ca/index-fra.aspx

The Heartbleed Bug <http://heartbleed.com>
http://heartbleed.com/

‘Heartbleed' Bug Exposes Passwords, Web Site Encryption Keys
http://krebsonsecurity.com/2014/04/heartbleed-bug-exposes-passwords-web-site-encryption-keys/

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :