{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Toutes les impl\u00e9mentations du protocole SSL/TLS sont  potentiellement vuln\u00e9rables.</P>","closed_at":"2013-02-21","content":"## Description\n\nPlusieurs articles et des outils r\u00e9cemment publi\u00e9s sur l'Internet\nmettent en lumi\u00e8re certaines fonctionnalit\u00e9s du protocole SSL/TLS. En\neffet, le protocole SSL requiert des traitements significativement plus\nco\u00fbteux pour le serveur que le client lors de l'\u00e9tablissement d'une\nsession ou lors de la ren\u00e9gociation de cl\u00e9s de session. Cette forte\nasym\u00e9trie des traitements entre le client et le serveur permet \u00e0 un ou\nplusieurs clients d'\u00e9puiser les ressources serveur et de r\u00e9aliser un\nd\u00e9ni de service. Les publications r\u00e9centes d\u00e9taillent ces aspects et\nproposent des outils, tr\u00e8s simples d'utilisation, mettant en pratique\ncette attaque.\n\nToutes les applications reposant sur l'utilisation d'un canal SSL/TLS\nsont potentiellement vuln\u00e9rables (HTTPS, POPS, IMAPS, LDAPS, ...).\n\nLa plus efficace de ces attaques consiste \u00e0 utiliser une seule connexion\nTCP pour r\u00e9aliser de nombreuses ren\u00e9gociations des cl\u00e9s de session\nSSL/TLS.\n\nUne variante de cette attaque, plus facilement d\u00e9tectable, consiste pour\nle client \u00e0 multiplier les connexions TCP pour \u00e9tablir un grand nombre\nde sessions SSL/TLS. Cette variante sera privil\u00e9gi\u00e9e par l'attaquant\nlorsque la ren\u00e9gociation de cl\u00e9s de session initi\u00e9 par le client est\nd\u00e9sactiv\u00e9e sur le serveur.\n\n## Solution\n\nS'agissant d'une fonctionnalit\u00e9 du protocole SSL/TLS, aucun correctif\nn'est \u00e0 attendre de la part des \u00e9diteurs d'impl\u00e9mentation du protocole\nSSL/TLS.\n\nN\u00e9anmoins, un certain nombre de v\u00e9rification et/ou pr\u00e9cautions\ns'imposent pour pr\u00e9venir un d\u00e9ni de service sur des applications\ncritiques reposant sur le protocole SSL/TLS.\n\n## 5 -.1 D\u00e9sactivation de la fonctionnalit\u00e9 de ren\u00e9gociation de cl\u00e9s de session initi\u00e9e par le client\n\nLa fonctionnalit\u00e9 de ren\u00e9gociation des cl\u00e9s de session a d\u00e9j\u00e0 donn\u00e9 lieu\n\u00e0 la publication de l'avis CERTA-2009-AVI-482. Lors du traitement de\ncette vuln\u00e9rabilit\u00e9, les diff\u00e9rents \u00e9diteurs d'impl\u00e9mentation du\nprotocole SSL/TLS ont propos\u00e9 des mises \u00e0 jour refusant par d\u00e9faut les\ndemandes de ren\u00e9gociation de cl\u00e9s de session initi\u00e9es par le client.\n\nPour l'impl\u00e9mentation OpenSSL, la version OpenSSL 0.9.8l d\u00e9sactive la\nren\u00e9gotiation de cl\u00e9 inititi\u00e9e par le client. Les versions 0.9.8m et\nsup\u00e9rieures r\u00e9activent cette fonctionnalit\u00e9. Il revient alors \u00e0\nl'administrateur de s'assurer que les applications proposant un canal\nchiffr\u00e9 avec OpenSSL sont configur\u00e9es pour refuser les demandes de\nren\u00e9gociation des cl\u00e9s de session. Par exemple, le module mod_ssl de\nApache rejette ces demandes dans les versions r\u00e9centes.\n\nPour l'impl\u00e9mentation de Microsoft Windows (Schannel), les mises \u00e0 jour\nde Schannel.dll sont document\u00e9es dans l'avis de s\u00e9curit\u00e9 Microsoft\nKB977377.\n\nCes mises \u00e0 jour d\u00e9sactivent par d\u00e9faut la ren\u00e9gociation de cl\u00e9s de\nsession initi\u00e9e par le client. Il est important de bien noter que les\nvuln\u00e9rabilit\u00e9s adress\u00e9es par ces mises \u00e0 jour ne sont pas li\u00e9es aux\nexploitations malveillantes par d\u00e9ni de service d\u00e9crites dans cette\nalerte.\n\nCette mesure permet de pr\u00e9venir l'exploitation la plus efficace de cette\nvuln\u00e9rabilit\u00e9.\n\n## 5 -.2 Surveillance et limitation des connexions TCP\n\nL'autre technique ici utilis\u00e9e est un d\u00e9ni de service plus classique\nreposant sur la multiplication des connexions au serveur et le\nd\u00e9clenchement de traitements co\u00fbteux pour le serveur (ici\nl'\u00e9tablissement de sessions SSL/TLS).\n\nDans ce contexte, il convient de recourir au moyen habituels de\npr\u00e9vention de ce risque\u00a0:\n\n-   Augmentation des capacit\u00e9s du serveur\n\n    L'attaque reposant sur l'attrition des ressources du serveur, il\n    peut suffir d'augmenter significativement les capacit\u00e9s de\n    traitement afin de pouvoir absorber la charge de l'attaque sans\n    impacter la charge normale de l'application.\n\n-   Limitation du nombre de connexions\n\n    L'application de mesures de limitation du nombre de connexions TCP\n    simultan\u00e9es va efficacement limiter l'acc\u00e8s de l'attaquant aux\n    ressources du serveur et ainsi pr\u00e9venir l'attaque.\n\n-   Utilisation de mat\u00e9riel sp\u00e9cialis\u00e9 type Hardware Security Module\n    (HSM)\n\n    Des mat\u00e9riels sp\u00e9cialis\u00e9s type HSM permettent d'augmenter\n    significativement le nombre de n\u00e9gociations SSL/TLS r\u00e9alis\u00e9\u00e9es par\n    unit\u00e9 de temps et donc la r\u00e9sistance aux attaques. Lorsque ces\n    boitiers sont utilis\u00e9s, il est important de s'assurer que les\n    protocoles accept\u00e9s par l'application c\u00f4t\u00e9 serveur sont bien\n    acc\u00e9l\u00e9r\u00e9s par ce mat\u00e9riel. En effet, si un protocole n\u00e9goci\u00e9 entre\n    le client et le serveur n'est pas acc\u00e9l\u00e9r\u00e9 alors la protection\n    apport\u00e9e par le dispositif n'est plus efficace.\n","cves":[],"links":[{"title":"Avis de s\u00e9curit\u00e9 Microsoft: Une vuln\u00e9rabilit\u00e9 de TLS/SSL    pourrait permettre l'usurpation d'identit\u00e9","url":"http://support.microsoft.com/kb/977377/fr"},{"title":"Bulletin d'actualit\u00e9 CERTA-2009-ACT-046","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-046"},{"title":"ChangeLog OpenSSL","url":"http://openssl.org/news/changelog.html"},{"title":"Avis CERTA-2009-AVI-482","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-482"}],"reference":"CERTA-2011-ALE-005","revisions":[{"description":"version initiale.","revision_date":"2011-10-27T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"}],"summary":"Le CERTA constate un int\u00e9r\u00eat renouvel\u00e9 pour l'exploitation malveillante\nde la fonctionnalit\u00e9 de ren\u00e9gociation de cl\u00e9s de session du protocole\nSSL/TLS afin de provoquer un d\u00e9ni de service.\n","title":"Exploitation malveillante d'une fonctionnalit\u00e9 du protocole SSL afin de provoquer un d\u00e9ni de service","vendor_advisories":[]}