 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 11 mars 2004
No CERTA-2003-AVI-156-007 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Failles dans des
implémentations de SSL/TLS
Tableau 1: gestion du document
| Référence |
CERTA-2003-AVI-156-007 |
| Titre |
Failles dans des
implémentations de SSL/TLS |
| Date de la première
version |
30 septembre 2003 |
| Date de la dernière
version |
11 mars 2004 |
| Source(s) |
Avis de sécurité
du NISCC |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service ;
- Exécution de code arbitraire à
distance.
Tout système utilisant OpenSSL pour implémenter les protocoles
de session SSL et TLS. En particulier le module mod_ssl d'Apache ou
les implémentations TLS des serveurs de messagerie Sendmail, Postfix, Qmail,...
et les services POP ou IMAP sécurisés par Stunnel sont impactés.
Un utilisateur mal intentionné peut transmettre un
certificat volontairement mal formé qui entraînera
un déni de service ou l'exécution de code
arbitraire sur l'hôte destinataire.
Les certificats, utilisés par les protocoles SSL/TLS,
sont des structures codées à l'aide d'un langage
standard, ASN.1 (Abstract Syntax Notation One). Lors du
traitement de données ne respectant volontairement pas
les règles de ce langage, le décodeur peut mal
gérer l'information reçue.
Trois vulnérabilités associées ont
été découvertes dans OpenSSL :
- l'usage d'une balise ASN.1 peu usitée peut
provoquer un accès mémoire incohérent
engendrant un déni de service
(références CAN-2003-0543 et CAN-2003-0544)
;
- une clé publique invalide peut arrêter
inopinément le décodeur lorsqu'il lui est
spécifié d'ignorer les erreurs (configuration
employée en test et non en production) ;
- des structures ASN.1 rejetées comme invalides
provoquent de mauvaises gestions de la mémoire qui
pourraient être exploitées pour exécuter
du code arbitraire à distance (référence
CAN-2003-0545).
Par ailleurs, un mauvais respect des spécifications
SSLv3 et TLS fait qu'un serveur utilisant OpenSSL accepte les certificats client
lorsqu'ils ne sont pourtant pas sollicités. Cela offre
l'opportunité d'exploiter les failles décrites
ci-dessus.
Mettre à jour OpenSSL.
- 30 septembre 2003
- version initiale ;
- 1er octobre 2003
- correction du lien Cisco, ajout du mauvais respect la
spécification de la norme par OpenSSL, ajout de Mandrake, Slackware, SGI,
Stunnel, ajout de nouvelles notes
de vulnérabilité du CERT/CC ;
- 3 octobre 2003
- ajouts de l'avis de sécurité du CERT/CC,
d'Apache sous HP-UX, de SuSE et
Debian ;
- 13 octobre 2003
- ajouts d'autres produits HP, d'OpenBSD, FreeBSD et
NetBSD, mise à jour du lien Apple et introduction de
Nortel Networks ;
- 16 décembre 2003
- Nouvel avis OpenSSL, mise à jour en 0.9.6l,
référence CVE CAN-2003-0851, ajouts de Sun,
Novell, Check Point, Oracle et VMWare ;
- 22 janvier 2004
- ajouts des références aux bulletins
relatifs à SunPlex (Sun Cluster), Sentinel et Secure
Shell de SSH ;
- 27 févier 2004
- ajout d'un nouvel avis NetBSD pour les versions 0.9.6
d'OpenSSL ;
- 11 mars 2004
- ajout des Java Servers de Sun.
CERTA
2012-01-04
|
|
)
