Avis ID vasco-sa-20140605-openssl
Numéro de révision 1.0
Date de sortie 13 avril 2015 16:30 UTC
Dernière mise à jour 13 avril 2015 16:30 UTC
Résumé
Le 5 juin 2014, le projet OpenSSL a publié un avis de sécurité décrivant sept vulnérabilités dans la bibliothèque OpenSSL. Les vulnérabilités sont désignées comme suit :
- Vulnérabilité SSL/TLS MITM
- Défaut de récursion DTLS
- Vulnérabilité d'un fragment invalide DTLS
- SSL_MODE_RELEASE_BUFFERS déréférencement du pointeur NULL
- SSL_MODE_RELEASE_BUFFERS injection de session ou refus de service
- Anonyme Déni de service ECDH
- Attaque de récupération Side-Channel D'ECDSA NONCE
Plusieurs produits OneSpan intègrent une version de la bibliothèque OpenSSL affectée par une ou plusieurs vulnérabilités qui pourraient permettre à un attaquant distant non authentifié d'effectuer une attaque man-in-the-middle, d'injecter des données de session SSL/TLS ou de perturber la disponibilité d'un service.
Produits touchés
Les produits suivants sont affectés par la vulnérabilité SSL/TLS MITM :
Serveurs SSL/TLS
- Serveur IDENTIKEY 3.3, 3.4
- IDENTIKEY Authentication Server 3.4 SR1, 3.5
- IDENTIKEY Fédération Serveur 1.3, 1.4, 1.5
- IDENTIKEY (Virtual) Appareil 3.4.5. (0,1)
- IDENTIKEY (Virtual) Appareil 3.4.6. (0,1,2,3)
- IDENTIKEY (Virtual) Appareil 3.5.7. (1,2,3,4)
- aXsGUARD Gatekeeper 7.0.0 PL19, 7.1.0 PL6, 7.6.5, 7.7.0, 7.7.1, 7.7.2
Clients SSL/TLS
- Outil de synchronisation LDAP 1.1, 1.2
- Outil de migration de données 2.0, 2.1, 2.2, 2.3, 2.4
- Authentification DIGIPASS pour Windows Logon 1.1, 1.2
- DigIPASS Authentification pour Citrix Web Interface 3.3, 3.4, 3.5, 3.6
- DigIPASS Authentification pour IIS - Base 3.3, 3.4, 3.5
- DigIPASS Authentification pour l'accès Web Outlook - Base 3.3, 3.4, 3.5
- DigIPASS Authentification pour l'accès Web Outlook - Formulaires 3.3, 3.4, 3.5
- DigIPASS Authentification pour l'accès Web de bureau à distance 3.4, 3.5, 3.6
- Authentification DIGIPASS pour le serveur RADIUS à ceinture d'acier 3.2, 3.3
- Personnel aXsGUARD 1.1.3, 2.1.0
Les produits suivants sont affectés par la vulnérabilité de déréférencement du pointeur SSL_MODE_RELEASE_BUFFERS NULL :
- IDENTIKEY Fédération Serveur 1.3, 1.4, 1.5
- aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2
Les produits suivants sont affectés par l'injection de session SSL_MODE_RELEASE_BUFFERS ou la vulnérabilité par déni de service :
- IDENTIKEY Fédération Serveur 1.3, 1.4, 1.5
- aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2
Description
Le 5 juin 2014, le projet OpenSSL a publié un avis de sécurité décrivant sept vulnérabilités dans la bibliothèque OpenSSL.
L'impact de cette vulnérabilité sur les produits OneSpan varie selon le produit concerné.
SSL/TLS Man-in-the-Middle
Un attaquant distant non authentifié avec la capacité d'intercepter le trafic entre un client SSL/TLS affecté et un serveur SSL/TLS pourrait exécuter une attaque de l'homme dans le milieu. Cette vulnérabilité a été attribuée CVE-2014-0224.
SSL_MODE_RELEASE_BUFFERS déréférencement du pointeur NULL
Un attaquant distant non authentifié peut soumettre une demande malveillante conçue pour déclencher une déréférencement du pointeur NULL. Cela pourrait entraîner un refus partiel ou complet de l'état de service sur l'appareil affecté. Cette vulnérabilité a été attribuée CVE-2014-0198.
SSL_MODE_RELEASE_BUFFERS injection de session ou refus de service
Un attaquant distant non authentifié peut soumettre une demande malveillante destinée à injecter du contenu dans une session SSL/TLS parallèle ou à créer une condition de refus de service. Cette vulnérabilité a été attribuée CVE-2010-5298.
Pour plus de détails, les clients sont dirigés vers l'avis de sécurité du projet OpenSSL : http://www.openssl.org/news/secadv_20140605.txt
Score de gravité
Les tableaux ci-dessous indiquent le score de vulnérabilité CVSS 2.0 des différentes vulnérabilités.
SSl/TLS Man-in-the-Middle
Score temporel CVSS: 3.6
| Score de base CVSS: 4.3 | |||||
| Accès Vector | Complexité d'accès |
Authentification |
Impact sur la confidentialité | Impact sur l'intégrité | Impact sur la disponibilité |
| réseau | Médium | Aucun | Aucun | qui aime bien | Aucun |
| Exploitabilité | Niveau d'assainissement | Confiance du rapport | |||
| fonctionnel | Correction officielle | Confirmé | |||
SSL_MODE_RELEASE_BUFFERS déréférencement du pointeur NULL
| Score de base CVSS: 7.1 | |||||
|
Accès Vector |
Complexité d'accès |
Authentification |
Impact sur la confidentialité | Impact sur l'intégrité | Impact sur la disponibilité |
| réseau | Médium | Aucun | Aucun | Aucun | Complet |
| Score temporel CVSS: 7.8 | |||||
| Exploitabilité | Niveau d'assainissement | Confiance du rapport | |||
| fonctionnel | Correction officielle | Confirmé | |||
SSL_MODE_RELEASE_BUFFERS injection de session ou refus de service
|
Score de base CVSS: 7.8 |
|||||
| Accès Vector | Complexité d'accès | Authentification | Impact sur la confidentialité | Impact sur l'intégrité | Impact sur la disponibilité |
| réseau | Médium | Aucun | Aucun | qui aime bien | Complet |
| Score temporel CVSS: 6.4 | |||||
| Exploitabilité | Niveau d'assainissement | Confiance du rapport | |||
| fonctionnel | Correction officielle | Confirmé | |||
Corrections de produits
OneSpan a publié des correctifs pour les produits suivants:
- IDENTIKEY Federation Server 1.3.2, 1.4.2, 1.5.1 le 13 juin 2014
OneSpan publiera les correctifs suivants :
- IDENTIKEY Authentication Server 3.5.4 le 23 juin 2014
- IDENTIKEY (Virtual) Appliance 3.5.7.5 le 23 juin 2014
- aXsGUARD Gatekeeper 7.7.3, dont la date de sortie sera annoncée plus tard
Les clients utilisant IDENTIKEY Server 3.3 ou 3.4 et les clients utilisant IDENTIKEY Authentication Server 3.4 SR1 sont recommandés de passer à IDENTIKEY Authentication Server 3.5 et d'appliquer le correctif approprié pour cette version.
Les clients utilisant aXsGUARD Gatekeeper sont recommandés de passer à aXsGUARD Gatekeeper 7.7.3.
Les clients utilisant un produit côté client affecté par la vulnérabilité SSL/TLS Man-in-the-Middle sont recommandés pour mettre à niveau le produit correspondant côté serveur. Cette approche permettra d'éviter tout impact car un produit vulnérable côté client et serveur est nécessaire pour exploiter la vulnérabilité.
Emplacement
Les clients ayant un contrat de maintenance peuvent obtenir des rejets de produits fixes de MyMaintenance.
référence
http://www.openssl.org/news/secadv_20140605.txt
Avis de non-responsabilité juridique
BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT FAITS POUR TRAITER ET FOURNIR DES RENSEIGNEMENTS EXACTS, TOUT LE CONTENU ET L'INFORMATION CONTENUS DANS CE DOCUMENT SONT FOURNIS « TELS QUE C'EST » ET « COMME DISPONIBLES », SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE EXPRESSION OU IMPLICITE GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. VASCO SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES.
Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Tous droits réservés.