Vulnérabilité OpenSSL – le bogue Heartbleed

Le bogue http://heartbleed.com/ est une très grave vulnérabilité touchant la très populaire boîte à outils de chiffrement OpenSSL et ses bibliothèques logicielles. En profitant de cette vulnérabilité, un pirate peut « pêcher » de l’information normalement protégée par le chiffrement des protocoles SSL et TSL utilisés pour sécuriser les sites Web. SSL et TLS garantissent la sécurité et la confidentialité des communications sur Internet pour des applications telles que le Web, le courrier électronique et les réseaux privés virtuels.

Le bogue Heartbleed permet à n’importe quelle personne sur Internet de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL. Ce bogue compromet les clés secrètes qui servent à identifier les fournisseurs de services et à chiffrer le trafic, les noms et les mots de passe des utilisateurs, ainsi que le contenu concerné. Il permet aux pirates d’épier les communications, de voler des données directement à partir des services et des utilisateurs et de se faire passer pour des services et des utilisateurs. Source (1)

 

Quelles versions d’OpenSSL constituent des cibles?

La faille touche les versions 1.0.1 et 1.0.2-beta d’OpenSSL, y compris 1.0.1f et 1.0.2-beta1.

Note: La version mise à jour par Redhat/CentOS affiche toujours la version "openssl-1.0.1e-16.el6_5.7"

  • Elle vulnérabilise toutes les versions se situant entre 1.0.1 et 1.0.1f inclusivement.
  • OpenSSL 1.0.1g N’EST PAS vulnérable.
  • OpenSSL 1.0.0 Branch N’EST PAS vulnérable.
  • OpenSSL 0.9.8 Branch N’EST PAS vulnérable.

 

Vérifier votre vulnérabilité

Vérifiez la version d’OpenSSL sur le serveur :

1) Connectez-vous au serveur au moyen d’une des lignes de commande suivantes :

*) Sur CentOS/Redhat :

rpm -qa openssl* 

 

**) Sur Ubuntu/Debian :

dpkg -l | grep openssl
(Vérifiez si la version installée figure à la page suivante : http://www.ubuntu.com/usn/usn-2165-1/ )

 

2) Recourez aux outils en ligne :

http://filippo.io/Heartbleed/

Solution :

1- Faites passer le serveur à la plus récente version d’OpenSSL (1.0.1g ou ultérieure).

2- Déterminez les services qui utilisent OpenSSL (HTTP, SMTP, etc.) :

  • lsof -n | grep ssl | grep DEL | awk '{print $1}' | sort | uniq

3- Faites redémarrer ces services. Cette étape est très importante, car la simple mise à niveau des bibliothèques ne changera pas les services en cours d’exécution.

4- Revérifiez qu’il n’y a plus aucun service vulnérable.

5- À titre de précaution, nous vous recommandons également de prendre les mesures suivantes :

  • régénérez votre clé privée SSL;
  • demandez le remplacement du certificat SSL. 

 

Références externes :

  1. http://heartbleed.com/
  2. https://www.openssl.org/news/secadv_20140407.txt
  3. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
  4. http://www.madboa.com/geek/openssl/
  5. http://bestinlinux.com/upgrade-openssl-latest-version-cpanel/
  6. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160
  7. http://ipsec.pl/ssl-tls/2014/why-heartbleed-dangerous-exploiting-cve-2014-0160.html
  8. RedHat : https://rhn.redhat.com/errata/RHSA-2014-0376.html
  9. Ubuntu : http://www.ubuntu.com/usn/usn-2165-1/
  10. Parallels Plesk: http://kb.parallels.com/en/120990/?show_at=fr
  11. Parallels Virtuozzo: http://kb.parallels.com/en/120989/?show_at=fr
  12. cPanel/WHM: https://cpanel.net/heartbleed-vulnerability-information/
  13. http://www.vmware.com/security/advisories/VMSA-2014-0004.html
  14. https://ssl-tools.net/mailservers

 **Changer les mots de passe des utilisateurs.

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk