Bulletin de sécurité

Transcription

BULLETIN DE SECURITE
STORM-2014-003
Vulnérabilité OpenSSL
Date de découverte
Révision du bulletin
Gravité
Impact
Niveau de compétence de l’attaquant
Provenance de l’attaque
Popularité
16 Octobre 2014
1.0
Moyenne
Déni de service
Bas
Internet et réseau local
Moyenne
Introduction
Une vulnérabilité (CVE-2014-3567) a été découverte dans l'outil OpenSSL. La
vulnérabilité est présente dans la gestion des tickets de session. La fuite mémoire due à
cette vulnérabilité peut conduire à des attaques par déni de service.
Il est à noter que nos produits ne sont pas impactés par les autres vulnérabilités
concernant OpenSSL (CVE-2014-3513, CVE-2014-3568).
Produits impactés
•
•
•
•
•
•
Agent Active Directory: le produit est impacté par le CVE-2014-3567. Une
nouvelle version du produit contiendra les correctifs de sécurité nécessaires.
Arkoon Fast360 : le produit est impacté par le CVE-2014-3567. Une nouvelle
version du produit contiendra les correctifs de sécurité nécessaires.
Arkoon Management Center : le produit est impacté par le CVE-2014-3567.
Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires.
Netasq : le produit est impacté par le CVE-2014-3567. Une nouvelle version du
produit contiendra les correctifs de sécurité nécessaires.
Stormshield Endpoint Security : le produit est impacté par le CVE-2014-3567.
Un correctif sera intégré dans la prochaine mise à jour prévue en janvier 2015.
Stormshield Network Security : le produit est impacté par le CVE-2014-3567.
Veuillez vous référer aux pages ci-dessous pour une vue détaillée de la vulnérabilité sur
l'ensemble des produits impactés.
Produits non impactés
•
•
Page 1 /14
Arkoon Control Center : le produit n'utilise pas OpenSSL.
Netasq Centralized Management : la version d’OpenSSL fournie avec Redhat
Enterprise Linux 5 n’est pas impactée par le CVE-2014-3567.
STORM-2014-003
STORM-2014-003
•
•
•
•
•
•
•
•
Netasq Event Analyzer : le produit n'utilise pas OpenSSL.
Netasq Global Admin : le produit n'est pas utilisé en tant que serveur SSL.
Netasq Realtime Monitor : le produit n'est pas utilisé en tant que serveur SSL.
Netasq Reporter : le produit n'est pas utilisé en tant que serveur SSL.
Netasq SSLVPN Client : le produit n'est pas utilisé en tant que serveur SSL.
Stormshield Data Security: le produit n'utilise pas OpenSSL.
Stormshield Network Centralized Management : la version d’OpenSSL
fournie avec Redhat Enterprise Linux 5 n’est pas impactée par le CVE-20143567.
Stormshield Network Event Analyzer : le produit n'utilise pas OpenSSL.
Si vous rencontrez des problèmes, n'hésitez pas à contacter le support Stormshield à
l'adresse suivante : http://www.stormshield.eu/acces-clients/.
Merci de votre collaboration.
Équipe sécurité
[email protected]
Révisions
•
Page 2 /14
v1.0 (23/10/2014) : publication initiale
STORM-2014-003
STORM-2014-003
Vulnérabilité d’Agent Active Directory
Gravité
Impact
Popularité
Versions concernées
Moyenne
Déni de service
Bas
Réseau d'administration
Haute
1.0.0 à 1.1.0
Description
La fuite mémoire présente dans la gestion des tickets de session d'OpenSSL peut
permettre à un attaquant de provoquer un déni de service sur le serveur hébergeant
l'application Agent Active Directory (AAD).
Sévérité
L’exploitation de cette faille pourrait permettre à un attaquant d'opérer un déni de
service sur le serveur de l'AAD.
Gravité
Le niveau de gravité de cette vulnérabilité a été classé moyen pour la raison suivante :
•
Source de l'attaque limitée à des réseaux maîtrisés.
Solution de contournement
Il est conseillé de protéger le serveur par un firewall restreignant les sources des
connexions vers ce service.
Versions impactées
•
Page 3 /14
ADD 1.0.0 à 1.1.0
STORM-2014-003
STORM-2014-003
Solution
Page 4 /14
STORM-2014-003
STORM-2014-003
Vulnérabilité d’Arkoon Fast360
Gravité
Impact
Popularité
Moyenne
Déni de service
Bas
Réseau d’administration
Réseau client Akauth
Moyenne
5.0/16 à 5.0/32
6.0/1 à 6.0/6
Description
permettre à un attaquant de provoquer un déni de service sur l'appliance Fast360. Pour
ce faire, l'attaquant doit exploiter la faille sur les composants suivants de l'appliance
Fast360 :
•
•
Administration. Dans ce cas, l'attaque est réalisable depuis le réseau spécifié dans
le champ ‘Admin from’ lors de la configuration de l'appliance.
Akauth. Dans le cas où Akauth est activé sur l'appliance, l'attaque peut être
conduite à partir des réseaux ou des hôtes configurés comme source dans des
règles de flux utilisant Akauth.
Impact
L’exploitation de cette faille pourrait permettre à un attaquant de provoquer un déni de
service sur l'appliance Fast360.
Ce déni de service se traduit par un redémarrage de l'appliance pour les versions
supérieures ou égales à :
•
•
5.0/29
6.0/1
Sur des versions inférieures, le déni de service se traduit par l'arrêt de certains services
de façon aléatoire.
Gravité
Le niveau de gravité de cette vulnérabilité a été classé moyen pour les raisons
suivantes :
•
Page 5 /14
Source de l'attaque limitée à des réseaux maîtrisés.
STORM-2014-003
STORM-2014-003
•
Redémarrage de l'appliance en cas de déni de service.
Afin de limiter la portée de l'attaque, il est recommandé de restreindre l'accès aux
réseaux spécifiés dans ‘Admin from’ et aux réseaux utilisés dans des règles de flux
activant Akauth.
Versions impactées
•
•
Arkoon Fast360 5.0/16 à 5.0/32
Arkoon Fast360 6.0/1 à 6.0/6
Solution
Page 6 /14
STORM-2014-003
STORM-2014-003
Vulnérabilité d’Arkoon Management Center
Gravité
Impact
Popularité
Moyenne
Déni de service
Bas
Moyenne
5.0/16 à 5.0/32
6.0/1 à 6.0/6
Description
permettre à un attaquant de provoquer un déni de service sur le serveur hébergeant
l'Arkoon Management Center (AMC).
Impact
service sur le serveur AMC. Le déni de service aura pour conséquence le redémarrage
du serveur s'il dispose d'un OOM (Out Of Memory Killer) ou d'une indisponibilité
totale du serveur dans le cas contraire.
Gravité
Le niveau de gravité de cette vulnérabilité a été classé moyen pour la raison suivante :
•
L'attaquant a besoin de créer beaucoup de connexions pour provoquer le déni de
service.
Il est conseillé de protéger le serveur par un firewall restreignant les sources des
connexions vers ce service. De plus il conseillé de vérifier qu'un OOM est disponible
sur le serveur AMC.
Versions impactées
•
•
Page 7 /14
AMC 5.0/16 to 5.0/32
AMC 6.0/1 to 6.0/6
STORM-2014-003
STORM-2014-003
Solution
Page 8 /14
STORM-2014-003
STORM-2014-003
Vulnérabilité de Netasq
Gravité
Impact
Popularité
Moyenne
Déni de service
Bas
Moyenne
9.0.0 à 9.1.3
Description
permettre à un attaquant de provoquer un déni de service sur l'appliance NETASQ. Pour
ce faire, l'attaquant doit utiliser la faille sur l'un des composants suivants de l'appliance
NETASQ :
•
•
Portail d'authentification et d'administration.
Proxy SSL.
L'attaque est réalisable dès qu'un de ces deux services est disponible sur le réseau de
l'attaquant.
Impact
service sur l'appliance NETASQ. Ce déni de service se traduit par un ralentissement des
performances globales de l'appliance puis un redémarrage du service attaqué.
Gravité
suivantes :
•
•
•
Page 9 /14
service.
Le déni de service est temporaire.
Le déni de service mène à un ralentissement de l'appliance et à un redémarrage des
services ‘sld’ et ‘tproxyd’ de manière inopinée.
STORM-2014-003
STORM-2014-003
Workaround solution
Il est recommander de désactiver les règles de filtrage implicites sur les services
d'authentification, de webadmin et de vpn SSL, puis de les remplacer par un filtrage
plus strict sur la source des connections.
Impacted versions
•
9.0.0 to 9.1.3
Solution
Page 10 /14
STORM-2014-003
STORM-2014-003
Vulnérabilité de Stormshield Endpoint Security
Gravité
Impact
Popularité
Moyenne
Déni de service
Bas
Moyenne
SES v6.0.15
SES v7.1.02
Description
Stormshield Endpoint Security (SES) est impacté par la vulnérabilité OpenSSL ‘Fuite
mémoire via Session Ticket’ (CVE-2014-3567).
L’exploitation de cette vulnérabilité pourrait permettre à un attaquant de provoquer un
déni de service sur le serveur Apache faisant partie d’un serveur Stormshield Endpoint
Security. L’exploitation de cette vulnérabilité pourrait également permettre à un
attaquant de provoquer un déni de service sur le processus framework.exe (sur un agent
ou sur un serveur).
Stormshield Endpoint Security est configuré pour redémarrer automatiquement ces
processus en cas d’arrêt inopiné, limitant ainsi le temps d’indisponibilité.
L’arrêt temporaire du processus Apache sur un serveur peut retarder l’enregistrement
d’agents nouvellement installés.
L’arrêt temporaire du processus framework.exe sur un serveur peut retarder l’envoi des
logs ainsi que la récupération d’une nouvelle version de la politique de sécurité par un
agent.
L’arrêt temporaire du processus framework.exe sur un agent n’a pas d’impact au niveau
de la sécurité du poste : la politique de sécurité reste appliquée pendant le temps où le
processus framework.exe est indisponible.
Impact
L’exploitation de cette vulnérabilité pourrait permettre à un attaquant de retarder
l’application d’une nouvelle politique de sécurité ou d’envoyer des logs depuis un
agent.
Page 11 /14
STORM-2014-003
STORM-2014-003
Gravité
suivantes:
•
•
L’indisponibilité des serveurs est de courte durée.
Les agents restent protégés.
A ce jour, il n’y a pas de solution de contournement disponible.
Versions impactées
•
•
SES v6.0.15
SES v7.1.02
Solution
À ce jour, il n’y a pas de version corrective de Stormshield Endpoint Security.
Les mises à jour 6.0.17 et 7.1.04 intégrant une correction pour cette vulnérabilité sont
prévues pour janvier 2015.
Page 12 /14
STORM-2014-003
STORM-2014-003
Vulnérabilité de Stormshield Network Security
Gravité
Impact
Popularité
Moyenne
Déni de service
Bas
Moyenne
1.0.0 à 1.1.3
Description
permettre à un attaquant de provoquer un déni de service sur l'appliance Stormshield
Network Security (SNS). Pour ce faire, l'attaquant doit utiliser la faille sur l'un des
composants suivants de l'appliance SNS :
•
•
Portail d'authentification et d'administration.
Proxy SSL.
L'attaque est réalisable dès qu'un de ces deux services est disponible sur le réseau de
l'attaquant.
Impact
service sur l'appliance SNS. Ce déni de service se traduit par un ralentissement des
performances globales de l'appliance puis un redémarrage du service attaqué.
Gravité
suivantes :
•
•
•
Page 13 /14
service.
Le déni de service est temporaire.
Le déni de service mène à un ralentissement de l'appliance et à un redémarrage des
services ‘sld’ et ‘tproxyd’ de manière inopinée.
STORM-2014-003
STORM-2014-003
Il est recommandé de désactiver les règles de filtrage implicites sur les services
d'authentification, de webadmin et de vpn SSL, puis de les remplacer par un filtrage
plus strict sur la source des connections.
Versions impactées
•
SNS 1.0.0 à 1.1.3
Solution
Page 14 /14
STORM-2014-003

Bulletin de sécurité

Transcription

Documents pareils

Etapes psychiques E.Kübler-Ross

invit a tion - Florian Mantione Institut

SERREAU Michaël - TFC online

La Belgique, terre d`asile fiscal

virtual log appliance

Fédération CGT des services publics

Ligue de Hockey NOUZAUT

Comment réussir à aborder avec lui le sujet de sa consommation