Source : https://www.openssl.org/news/secadv_20140605.txt
Description
Un pirate recourant à une liaison adroitement établie peut affaiblir le chiffrement OpenSSL SSL et TLS. Il peut ainsi se livrer à une attaque appelée attaque de l’homme du milieu (HDM) ou man in the middle attack (MITM) consistant à décrypter et à modifier le trafic des clients et des serveurs visés.
Ce type d’attaque ne peut être lancé qu’entre un client ET un serveur vulnérables.
Quelles versions d’OpenSSL constituent des cibles?
- Les clients sont vulnérables dans TOUTES les versions d’OpenSSL.
- En ce qui concerne les serveurs, seules les versions 1.0.1 et 1.0.2-beta1 présentent un problème.
Solution au problème :
Il est conseillé aux utilisateurs dont les serveurs recourent à des versions d’OpenSSL antérieures à 1.0.1 d’effectuer une mise à niveau par mesure de précaution.
- Les utilisateurs d’OpenSSL 0.9.8 SSL/TLS (client ou serveur) devraient passer à 0.9.8za.
- Les utilisateurs d’OpenSSL 1.0.0 SSL/TLS (client ou serveur) devraient passer à 1.0.0m.
- Les utilisateurs d’OpenSSL 1.0.1 SSL/TLS (client ou serveur) devraient passer à 1.0.1h.
Reportez-vous à cet article pour vérifier la version de votre OpenSSL et pour effectuer la mise à niveau.
- Debian : https://security-tracker.debian.org/tracker/CVE-2014-0224
- Ubuntu : http://www.ubuntu.com/usn/usn-2232-1/
- cPanel : http://forums.cpanel.net/f185/openssl-vulnerability-cve-2014-0224-a-411551.html
- Plesk : http://kb.parallels.com/en/121916
- Redhat :
https://rhn.redhat.com/errata/RHSA-2014-0625.html
https://access.redhat.com/site/articles/904433 - CentOS : https://www.centos.org/forums/viewtopic.php?f=11&t=46561
- VMWare: http://kb.vmware.com/selfservice/microsites/search.do?cmd=displayKC&docType=kc&externalId=2079783&sliceId=1&docTypeID=DT_KB_1_1&dialogID=282054392&stateId=1%200%20282062537
Ressources supplémentaires :
- https://www.openssl.org/news/secadv_20140605.txt
- http://www.securityfocus.com/bid/67899
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
- http://www.symantec.com/connect/blogs/openssl-patches-critical-vulnerabilities-two-months-after-heartbleed
- http://arstechnica.com/security/2014/06/still-reeling-from-heartbleed-openssl-suffers-from-crypto-bypass-flaw/
- https://securityblog.redhat.com/2014/06/05/openssl-mitm-ccs-injection-attack-cve-2014-0224/
- http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection-en/index.html
- http://www.rapid7.com/resources/videos/openssl-vulnerabilities.jsp
-
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
0 Commentaires