Risque
- Contournement de la politique de sécurité
Systèmes affectés
- OpenSSL versions antérieures à 0.9.8l ;
- Sun Java Enterprise System Suite (voir le bulletin de sécurité Sun du 11 janvier 2010) ;
- IBM WebSphere DataPower SOA appliances (voir le bulletin de sécurité IBM du 11 janvier 2010) ;
- IBM multiples implémentations de SSL/TLS (voir le bulletin de sécurité IBM du 13 janvier 2010).
D'autres implémentations du protocole sont probablement touchées, ainsi que des applications utilisant OpenSSL.
Résumé
Une vulnérabilité dans le protocole SSL/TLS permet à une personne malintentionnée de contourner la politique de sécurité.
Description
Une vulnérabilité a été identifiée dans le protocole SSL/TLS lors de renégociations de sessions. Une personne s'étant au préalable mise en situation « d'homme au milieu » (man in the middle) peut, dans certaines circonstances, injecter des données à l'encontre d'un utilisateur, pour, par exemple, forcer l'envoi d'une requête HTTP au serveur vers lequel la victime se connecte.
Solution
La version 0.9.8l de OpenSSL désactive la renégociation de sessions par défaut.
Documentation
- Bulletin de sécurité Apple HT4004 du 19 janvier 2010 : http://support.apple.com/kb/HT4004
- Bulletin de sécurité Bluecoat SA44 du 23 février 2010 : http://kb.bluecoat.com/index?page=content&id=SA44
- Bulletin de sécurité Cisco cisco-sa-20091109-tls du 22 juillet 2010 : http://www.cisco.com/en/US/products/products_security_advisory09186a0080b01d1d.shtml
- Bulletin de sécurité Cisco cisco-sa-20091109-tls du 26 février 2010 : http://www.cisco.com/warp/public/707/cisco-sa-20091109-tls.shtml
- Bulletin de sécurité Debian DSA 1934 du 16 novembre 2009 : http://www.debian.org/security/2009/dsa-1934
- Bulletin de sécurité Gentoo GLSA-200912-01 du 02 décembre 2009 : http://www.gentoo.org/security/en/glsa/glsa-200912-01.xml
- Bulletin de sécurité HP c01945686 du 12 décembre 2009 : http://h20000.www2.hp.com/bizsupport/TechSupport/Documents.jsp?objectID=c01945686
- Bulletin de sécurité HP c02171256 du 17 mai 2010 : http://h20000.www2.hp.com/bizsupport/TechSupport/Documents.jsp?objectID=c02171256
- Bulletin de sécurité IBM du 11 janvier 2010 : http://www-01.ibm.com/support/docview.wss?uid=swg21390112
- Bulletin de sécurité IBM du 13 janvier 2010 : http://www-01.ibm.com/support/docview.wss?uid=nas258cbfcf0a5645af7862576710041f65e
- Bulletin de sécurité IBM du 22 janvier 2010 pour IBM WebSphere : http://www-01.ibm.com/support/docview.wss?uid=swg24025718
- Bulletin de sécurité IBM du 25 novembre 2010 pour IBM WebSphere MQ : http://www-01.ibm.com/support/docview.wss?uid=swg24006386
- Bulletin de sécurité IBM du 27 janvier 2010 pour IBM WebSphere : http://www-01.ibm.com/support/docview.wss?uid=swg24025719
- Bulletin de sécurité Microsoft MS10-049 du 10 août 2010 : http://www.microsoft.com/technet/security/Bulletin/MS10-049.mspx
- Bulletin de sécurité Microsoft MS10-049 du 10 août 2010 : http://www.microsoft.com/france/technet/security/Bulletin/MS10-049.mspx
- Bulletin de sécurité RedHat RHSA-2010:0173 du 25 mars 2010 : http://rhn.redhat.com/errata/RHSA-2010-0173.html
- Bulletin de sécurité SUSE SUSE-SA:2009:057 du 18 novembre 2009 : http://lists.opensuse.org/opensuse-security-announce/2009-11/msg00009.html
- Bulletin de sécurité Sun du 11 janvier 2010 : http://sunsolve.sun.com/search/document.do?assetkey=1-66-274990-1
- Bulletin de sécurité Sun du 19 novembre 2009 : http://sunsolve.sun.com/search/document.do?assetkey=1-66-273029-1
- Bulletin de version ProFTPd 1.3.2c : http://www.proftpd.org/docs/RELEASE_NOTES-1.3.2c
- Bulletins de sécurité Fedora FEDORA-2009-12229 et 12305 du 27 novembre 2009 : https://www.redhat.com/archives/fedora-packages-announce/2009-December/msg01029.html
- Bulletins de sécurité Fedora FEDORA-2009-12229 et 12305 du 27 novembre 2009 : https://www.redhat.com/archives/fedora-packages-announce/2009-December/msg01020.html
- Bulletins de sécurité Fedora FEDORA-2009-12604 et 12606 du 04 décembre 2009 : https://www.redhat.com/archives/fedora-packages-announce/2009-December/msg00944.html
- Bulletins de sécurité Fedora FEDORA-2009-12604 et 12606 du 04 décembre 2009 : https://www.redhat.com/archives/fedora-packages-announce/2009-December/msg00645.html
- Bulletins de sécurité Fedora FEDORA-2009-12750, 12775 et 12782 du 07 décembre 2009 : https://www.redhat.com/archives/fedora-packages-announce/2009-December/msg00449.html
- Bulletins de sécurité Fedora FEDORA-2009-12750, 12775 et 12782 du 07 décembre 2009 : https://www.redhat.com/archives/fedora-packages-announce/2009-December/msg00428.html
- Bulletins de sécurité Fedora FEDORA-2009-12750, 12775 et 12782 du 07 décembre 2009 : https://www.redhat.com/archives/fedora-packages-announce/2009-December/msg00442.html
- Bulletins de sécurité OpenBSD du 26 novembre 2009 : http://openbsd.org/errata45.html#010_openssl
- Bulletins de sécurité OpenBSD du 26 novembre 2009 : http://openbsd.org/errata46.html#004_openssl
- Bulletins de sécurité RedHat RHSA-2009:1579 et 1580 du 11 novembre 2009 : http://rhn.redhat.com/errata/RHSA-2009-1580.html
- Bulletins de sécurité RedHat RHSA-2009:1579 et 1580 du 11 novembre 2009 : http://rhn.redhat.com/errata/RHSA-2009-1579.html
- Bulletins de sécurité RedHat RHSA-2010:0162 à 0167 du 25 mars 2010 : http://rhn.redhat.com/errata/RHSA-2010-0162.html
- Bulletins de sécurité RedHat RHSA-2010:0162 à 0167 du 25 mars 2010 : http://rhn.redhat.com/errata/RHSA-2010-0164.html
- Bulletins de sécurité RedHat RHSA-2010:0162 à 0167 du 25 mars 2010 : http://rhn.redhat.com/errata/RHSA-2010-0165.html
- Bulletins de sécurité RedHat RHSA-2010:0162 à 0167 du 25 mars 2010 : http://rhn.redhat.com/errata/RHSA-2010-0166.html
- Bulletins de sécurité RedHat RHSA-2010:0162 à 0167 du 25 mars 2010 : http://rhn.redhat.com/errata/RHSA-2010-0167.html
- Bulletins de sécurité RedHat RHSA-2010:0162 à 0167 du 25 mars 2010 : http://rhn.redhat.com/errata/RHSA-2010-0163.html
- Mise à jour de OpenSSL : http://www.openssl.org/source/
- Référence CVE CVE-2009-3245 https://www.cve.org/CVERecord?id=CVE-2009-3245
- Référence CVE CVE-2009-3555 https://www.cve.org/CVERecord?id=CVE-2009-3555
