Vulnérabilités critiques d’OpenSSL – DROWN (CVE-2016-0800)

Description

DROWN est une vulnérabilité grave qui touche HTTPS et d’autres services qui s’appuient sur les protocoles SSL et TLS. Elle permet aux pirates de contourner le chiffrement et de lire ou voler les communications confidentielles.

Qui est vulnérable?

Un serveur est vulnérable à DROWN si l’une des conditions ci-dessous se présente :

  • il autorise les connexions SSLv2;
  • sa clé privée est utilisée sur n'importe quel serveur qui autorise des connexions SSL2v, même pour un protocole différent.


D’autres vulnérabilités moins critiques d’OpenSSL ont été découvertes et sont expliquées ici :

https://www.openssl.org/news/secadv/20160301.txt

Directive portant sur le système d’exploitation

Veuillez vérifier si une version corrigée d’OpenSSL a été publiée pour votre version de système d’exploitation avant de la mettre à jour :

Red Hat et CentOS
https://access.redhat.com/security/vulnerabilities/drown

Debian
https://security-tracker.debian.org/tracker/CVE-2016-0800
https://www.debian.org/security/2016/dsa-3500

Ubuntu:
http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-0800.html
Bien qu’Ubuntu ne soit pas compromis par CVE-2016-0800, il est compromis par CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798 et CVE-2016-0799, ce qui signifie que la boîte à outils OpenSSL doit être mise à jour :
http://www.ubuntu.com/usn/usn-2914-1/

Serveurs Windows Microsoft IIS
En ce qui concerne les versions IIS 7.0 et ultérieures, SSLv2 est normalement désactivé par défaut. Microsoft ne prend plus en charge les versions IIS antérieures à 7.0. Il est donc nécessaire de faire la mise à jour et de passer à une version prise en charge.

Solution

Sur CentOSet Red Hat Enterprise Linux 

Exécutez :

yum clean all

yum update openssl

reboot


Sur Ubuntu et Debian


Exécutez :

sudo apt-get update

sudo apt-get install openssl

reboot  

Nous vous suggérons de vous inscrire au système de notification lié à votre système d’exploitation en visitant les adresses URL suivantes :

Red Hat – RHSA-announce (http://www.redhat.com/mailman/listinfo/rhsa-announce)
CentOS – CentOS-announce (https://lists.centos.org/mailman/listinfo/centos-announce)
Ubuntu – ubuntu-security-announce (https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce)
Debian – debian-security-announce (https://lists.debian.org/debian-security-announce/)

Références

https://drownattack.com/
https://www.openssl.org/news/secadv/20160301.txt
https://access.redhat.com/security/vulnerabilities/drown
https://access.redhat.com/labs/drown/
https://security-tracker.debian.org/tracker/CVE-2016-0800
https://www.debian.org/security/2016/dsa-3500
http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-0800.html
http://www.ubuntu.com/usn/usn-2914-1/

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk