Vulnérabilité dans OpenSSL (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298, CVE-2014-3470)

Source : https://www.openssl.org/news/secadv_20140605.txt

Description

Un pirate recourant à une liaison adroitement établie peut affaiblir le chiffrement OpenSSL SSL et TLS. Il peut ainsi se livrer à une attaque appelée attaque de l’homme du milieu (HDM) ou man in the middle attack (MITM) consistant à décrypter et à modifier le trafic des clients et des serveurs visés.

Ce type d’attaque ne peut être lancé qu’entre un client ET un serveur vulnérables.

Quelles versions d’OpenSSL constituent des cibles?

• Les clients sont vulnérables dans TOUTES les versions d’OpenSSL.
• En ce qui concerne les serveurs, seules les versions 1.0.1 et 1.0.2-beta1 présentent un problème.

Solution au problème :

Il est conseillé aux utilisateurs dont les serveurs recourent à des versions d’OpenSSL antérieures à 1.0.1 d’effectuer une mise à niveau par mesure de précaution.

• Les utilisateurs d’OpenSSL 0.9.8 SSL/TLS (client ou serveur) devraient passer à 0.9.8za.
• Les utilisateurs d’OpenSSL 1.0.0 SSL/TLS (client ou serveur) devraient passer à 1.0.0m.
• Les utilisateurs d’OpenSSL 1.0.1 SSL/TLS (client ou serveur) devraient passer à 1.0.1h.

Reportez-vous à cet article pour vérifier la version de votre OpenSSL et pour effectuer la mise à niveau.

• Debian : https://security-tracker.debian.org/tracker/CVE-2014-0224
• Ubuntu : http://www.ubuntu.com/usn/usn-2232-1/
• cPanel : http://forums.cpanel.net/f185/openssl-vulnerability-cve-2014-0224-a-411551.html
  
  
• Plesk : http://kb.parallels.com/en/121916
• Redhat : 
  https://rhn.redhat.com/errata/RHSA-2014-0625.html
  https://access.redhat.com/site/articles/904433
• CentOS : https://www.centos.org/forums/viewtopic.php?f=11&t=46561
• VMWare: http://kb.vmware.com/selfservice/microsites/search.do?cmd=displayKC&docType=kc&externalId=2079783&sliceId=1&docTypeID=DT_KB_1_1&dialogID=282054392&stateId=1%200%20282062537

   

Ressources supplémentaires :

• https://www.openssl.org/news/secadv_20140605.txt
• http://www.securityfocus.com/bid/67899
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
• http://www.symantec.com/connect/blogs/openssl-patches-critical-vulnerabilities-two-months-after-heartbleed
• http://arstechnica.com/security/2014/06/still-reeling-from-heartbleed-openssl-suffers-from-crypto-bypass-flaw/
• https://securityblog.redhat.com/2014/06/05/openssl-mitm-ccs-injection-attack-cve-2014-0224/
• http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection-en/index.html
• http://www.rapid7.com/resources/videos/openssl-vulnerabilities.jsp

• http://www.kb.cert.org/vuls/id/978508

• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224

• https://access.redhat.com/site/blogs/766093/posts/908133