Date de découverte 16 Octobre 2014 Révision du bulletin 1.0



Documents pareils
INFO CLIENT. si pas de code UCM: veuillez joindre une confirmation du prestataire luxembourgeois de la relation

La haute disponibilité de la CHAINE DE

Restriction sur matériels d impression

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Sage CRM. 7.2 Guide de Portail Client

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Système Principal (hôte) 2008 Enterprise x64


Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée Virtual Server de Microsoft

KASPERSKY SECURITY FOR BUSINESS


Atelier Sécurité / OSSIR

Panda Managed Office Protection. Guide d'installation pour les clients de WebAdmin

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

Tutoriel sur Retina Network Security Scanner

Programme Partenaires Partner Connect NETWORK SECURITY I ENDPOINT SECURITY I DATA SECURITY

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Vulnérabilités et sécurisation des applications Web

JetClouding Installation

SAP BUSINESSOBJECTS BUSINESS INTELLIGENCE SUITE 4.x VERSION Bien démarrer avec la CCM

Bitdefender Endpoint Security Tools

07/03/2014 SECURISATION DMZ

Création d'un site web avec identification NT

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server 3, 3.5

StormShield v4.0 StormShield - Version 4.0 Presentation OSSIR 10 juillet 2006

Pré-requis pour les serveurs Windows 2003, Windows 2008 R2 et Windows 2012

Sophos Endpoint Security and Control Guide de démarrage réseau

Configuration d'un annuaire LDAP

Guide d'intégration à ConnectWise

Notre expertise au cœur de vos projets

Installation et configuration du CWAS dans une architecture à 2 pare-feux

OPTENET DCAgent Manuel d'utilisateur

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

APPLICATIONS WEB ET SECURITE

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Guide pas à pas. McAfee Virtual Technician 6.0.0

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

Bitdefender Endpoint Security Tools

INSTALLER JOOMLA! POUR UN HEBERGEMENT LINUX

Installation et configuration de Vulture Lundi 2 février 2009

Outils d administration

Serveur d application WebDev

Rapport de certification

Sophos SafeGuard Disk Encryption, Sophos SafeGuard Easy Aide administrateur. Version du produit : 5.60

Rapport de certification

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

TAGREROUT Seyf Allah TMRIM

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

Protosafe : un service en ligne d archivage de données médicales

Prise en main de Symantec Endpoint Protection

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

terra CLOUD SaaS Exchange Manuel Version : 05/

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

État Réalisé En cours Planifié

Une protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

WGW PBX. Guide de démarrage rapide

CONFIGURATION DE BASE

Guide d'installation du token

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Sécurité des Postes Clients

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Faille dans Internet Explorer 7

Guide Installation Serveur Extensive Testing

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Pré-requis serveur d'applications AppliDis pour Microsoft Windows Server 2012

Graphisme et Design. L'interface client respectera votre charte graphique et sera adaptée selon vos recommandations.

Manuel d'installation du logiciel

Guide d administration basique. Panda Security

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Entensys Corporation UserGate Proxy & Firewall Guide du revendeur

Le modèle de sécurité windows

Conditions Particulières de Maintenance. Table des matières. Ref : CPM-1.2 du 08/06/2011

MANUEL D INSTALLATION D UN PROXY

Boîte à outils OfficeScan

Guide d installation d AppliDis Free Edition sur Windows Serveur 2008 R2

Systems et softs. Network. Security

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

11/04/2014 Document Technique des Services Disponibles. 16/04/2014. Document Technique des Services Disponibles.

Point de situation et plan d'action du SITEL. Présentation de A. Mokeddem, devant la Commission informatique le 2 octobre 2000

Réaliser un inventaire Documentation utilisateur

Installation 4D. Configuration requise Installation et activation

Déploiement, administration et configuration

Responsabilités du client

Dell Server PRO Management Pack 4.0 pour Microsoft System Center Virtual Machine Manager Guide d'installation

Transcription:

Vulnérabilité OpenSSL Date de découverte 16 Octobre 2014 Révision du bulletin 1.0 Déni de service Niveau de compétence de l attaquant Bas Provenance de l attaque Internet et réseau local Popularité Introduction Une vulnérabilité (CVE-2014-3567) a été découverte dans l'outil OpenSSL. La vulnérabilité est présente dans la gestion des tickets de session. La fuite mémoire due à cette vulnérabilité peut conduire à des attaques par déni de service. Il est à noter que nos produits ne sont pas impactés par les autres vulnérabilités concernant OpenSSL (CVE-2014-3513, CVE-2014-3568). Produits impactés Agent Active Directory: le produit est impacté par le CVE-2014-3567. Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Arkoon Fast360 : le produit est impacté par le CVE-2014-3567. Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Arkoon Management Center : le produit est impacté par le CVE-2014-3567. Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Netasq : le produit est impacté par le CVE-2014-3567. Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Stormshield Endpoint Security : le produit est impacté par le CVE-2014-3567. Un correctif sera intégré dans la prochaine mise à jour prévue en janvier 2015. Stormshield Network Security : le produit est impacté par le CVE-2014-3567. Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Veuillez vous référer aux pages ci-dessous pour une vue détaillée de la vulnérabilité sur l'ensemble des produits impactés. Produits non impactés Arkoon Control Center : le produit n'utilise pas OpenSSL. Netasq Centralized Management : la version d OpenSSL fournie avec Redhat Enterprise Linux 5 n est pas impactée par le CVE-2014-3567. Page 1 /14

Netasq Event Analyzer : le produit n'utilise pas OpenSSL. Netasq Global Admin : le produit n'est pas utilisé en tant que serveur SSL. Netasq Realtime Monitor : le produit n'est pas utilisé en tant que serveur SSL. Netasq Reporter : le produit n'est pas utilisé en tant que serveur SSL. Netasq SSLVPN Client : le produit n'est pas utilisé en tant que serveur SSL. Stormshield Data Security: le produit n'utilise pas OpenSSL. Stormshield Network Centralized Management : la version d OpenSSL fournie avec Redhat Enterprise Linux 5 n est pas impactée par le CVE-2014-3567. Stormshield Network Event Analyzer : le produit n'utilise pas OpenSSL. Si vous rencontrez des problèmes, n'hésitez pas à contacter le support Stormshield à l'adresse suivante : http://www.stormshield.eu/acces-clients/. Merci de votre collaboration. Révisions v1.0 (23/10/2014) : publication initiale Équipe sécurité security@stormshield.eu Page 2 /14

Vulnérabilité d Agent Active Directory Déni de service Niveau de compétence de l attaquant Bas Provenance de l attaque Réseau d'administration Popularité Haute Versions concernées 1.0.0 à 1.1.0 Description La fuite mémoire présente dans la gestion des tickets de session d'openssl peut permettre à un attaquant de provoquer un déni de service sur le serveur hébergeant l'application Agent Active Directory (AAD). Sévérité L exploitation de cette faille pourrait permettre à un attaquant d'opérer un déni de service sur le serveur de l'aad. Le niveau de gravité de cette vulnérabilité a été classé moyen pour la raison suivante : Source de l'attaque limitée à des réseaux maîtrisés. Solution de contournement Il est conseillé de protéger le serveur par un firewall restreignant les sources des connexions vers ce service. Versions impactées ADD 1.0.0 à 1.1.0 Page 3 /14

Solution Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Page 4 /14

Vulnérabilité d Arkoon Fast360 Niveau de compétence de l attaquant Provenance de l attaque Popularité Versions concernées Description Déni de service Bas Réseau d administration Réseau client Akauth 5.0/16 à 5.0/32 6.0/1 à 6.0/6 La fuite mémoire présente dans la gestion des tickets de session d'openssl peut permettre à un attaquant de provoquer un déni de service sur l'appliance Fast360. Pour ce faire, l'attaquant doit exploiter la faille sur les composants suivants de l'appliance Fast360 : Administration. Dans ce cas, l'attaque est réalisable depuis le réseau spécifié dans le champ Admin from lors de la configuration de l'appliance. Akauth. Dans le cas où Akauth est activé sur l'appliance, l'attaque peut être conduite à partir des réseaux ou des hôtes configurés comme source dans des règles de flux utilisant Akauth. L exploitation de cette faille pourrait permettre à un attaquant de provoquer un déni de service sur l'appliance Fast360. Ce déni de service se traduit par un redémarrage de l'appliance pour les versions supérieures ou égales à : 5.0/29 6.0/1 Sur des versions inférieures, le déni de service se traduit par l'arrêt de certains services de façon aléatoire. Le niveau de gravité de cette vulnérabilité a été classé moyen pour les raisons suivantes : Source de l'attaque limitée à des réseaux maîtrisés. Page 5 /14

Redémarrage de l'appliance en cas de déni de service. Solution de contournement Afin de limiter la portée de l'attaque, il est recommandé de restreindre l'accès aux réseaux spécifiés dans Admin from et aux réseaux utilisés dans des règles de flux activant Akauth. Versions impactées Arkoon Fast360 5.0/16 à 5.0/32 Arkoon Fast360 6.0/1 à 6.0/6 Solution Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Page 6 /14

Vulnérabilité d Arkoon Management Center BULLETIN DE SECURITE Niveau de compétence de l attaquant Provenance de l attaque Popularité Versions concernées Description Déni de service Bas Internet et réseau local 5.0/16 à 5.0/32 6.0/1 à 6.0/6 La fuite mémoire présente dans la gestion des tickets de session d'openssl peut permettre à un attaquant de provoquer un déni de service sur le serveur hébergeant l'arkoon Management Center (AMC). L exploitation de cette faille pourrait permettre à un attaquant de provoquer un déni de service sur le serveur AMC. Le déni de service aura pour conséquence le redémarrage du serveur s'il dispose d'un OOM (Out Of Memory Killer) ou d'une indisponibilité totale du serveur dans le cas contraire. Le niveau de gravité de cette vulnérabilité a été classé moyen pour la raison suivante : L'attaquant a besoin de créer beaucoup de connexions pour provoquer le déni de service. Solution de contournement Il est conseillé de protéger le serveur par un firewall restreignant les sources des connexions vers ce service. De plus il conseillé de vérifier qu'un OOM est disponible sur le serveur AMC. Versions impactées AMC 5.0/16 to 5.0/32 AMC 6.0/1 to 6.0/6 Page 7 /14

Solution Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Page 8 /14

Vulnérabilité de Netasq Déni de service Niveau de compétence de l attaquant Bas Provenance de l attaque Internet et réseau local Popularité Versions concernées 9.0.0 à 9.1.3 Description La fuite mémoire présente dans la gestion des tickets de session d'openssl peut permettre à un attaquant de provoquer un déni de service sur l'appliance NETASQ. Pour ce faire, l'attaquant doit utiliser la faille sur l'un des composants suivants de l'appliance NETASQ : Portail d'authentification et d'administration. Proxy SSL. L'attaque est réalisable dès qu'un de ces deux services est disponible sur le réseau de l'attaquant. L exploitation de cette faille pourrait permettre à un attaquant de provoquer un déni de service sur l'appliance NETASQ. Ce déni de service se traduit par un ralentissement des performances globales de l'appliance puis un redémarrage du service attaqué. Le niveau de gravité de cette vulnérabilité a été classé moyen pour les raisons suivantes : L'attaquant a besoin de créer beaucoup de connexions pour provoquer le déni de service. Le déni de service est temporaire. Le déni de service mène à un ralentissement de l'appliance et à un redémarrage des services sld et tproxyd de manière inopinée. Page 9 /14

Workaround solution Il est recommander de désactiver les règles de filtrage implicites sur les services d'authentification, de webadmin et de vpn SSL, puis de les remplacer par un filtrage plus strict sur la source des connections. ed versions 9.0.0 to 9.1.3 Solution Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Page 10 /14

Vulnérabilité de Stormshield Endpoint Security BULLETIN DE SECURITE Niveau de compétence de l attaquant Provenance de l attaque Popularité Versions concernées Description Déni de service Bas Internet et réseau local SES v6.0.15 SES v7.1.02 Stormshield Endpoint Security (SES) est impacté par la vulnérabilité OpenSSL Fuite mémoire via Session Ticket (CVE-2014-3567). L exploitation de cette vulnérabilité pourrait permettre à un attaquant de provoquer un déni de service sur le serveur Apache faisant partie d un serveur Stormshield Endpoint Security. L exploitation de cette vulnérabilité pourrait également permettre à un attaquant de provoquer un déni de service sur le processus framework.exe (sur un agent ou sur un serveur). Stormshield Endpoint Security est configuré pour redémarrer automatiquement ces processus en cas d arrêt inopiné, limitant ainsi le temps d indisponibilité. L arrêt temporaire du processus Apache sur un serveur peut retarder l enregistrement d agents nouvellement installés. L arrêt temporaire du processus framework.exe sur un serveur peut retarder l envoi des logs ainsi que la récupération d une nouvelle version de la politique de sécurité par un agent. L arrêt temporaire du processus framework.exe sur un agent n a pas d impact au niveau de la sécurité du poste : la politique de sécurité reste appliquée pendant le temps où le processus framework.exe est indisponible. L exploitation de cette vulnérabilité pourrait permettre à un attaquant de retarder l application d une nouvelle politique de sécurité ou d envoyer des logs depuis un agent. Page 11 /14

Le niveau de gravité de cette vulnérabilité a été classé moyen pour les raisons suivantes: L indisponibilité des serveurs est de courte durée. Les agents restent protégés. Solution de contournement A ce jour, il n y a pas de solution de contournement disponible. Versions impactées SES v6.0.15 SES v7.1.02 Solution À ce jour, il n y a pas de version corrective de Stormshield Endpoint Security. Les mises à jour 6.0.17 et 7.1.04 intégrant une correction pour cette vulnérabilité sont prévues pour janvier 2015. Page 12 /14

Vulnérabilité de Stormshield Network Security Déni de service Niveau de compétence de l attaquant Bas Provenance de l attaque Internet et réseau local Popularité Versions concernées 1.0.0 à 1.1.3 Description BULLETIN DE SECURITE La fuite mémoire présente dans la gestion des tickets de session d'openssl peut permettre à un attaquant de provoquer un déni de service sur l'appliance Stormshield Network Security (SNS). Pour ce faire, l'attaquant doit utiliser la faille sur l'un des composants suivants de l'appliance SNS : Portail d'authentification et d'administration. Proxy SSL. L'attaque est réalisable dès qu'un de ces deux services est disponible sur le réseau de l'attaquant. L exploitation de cette faille pourrait permettre à un attaquant de provoquer un déni de service sur l'appliance SNS. Ce déni de service se traduit par un ralentissement des performances globales de l'appliance puis un redémarrage du service attaqué. Le niveau de gravité de cette vulnérabilité a été classé moyen pour les raisons suivantes : L'attaquant a besoin de créer beaucoup de connexions pour provoquer le déni de service. Le déni de service est temporaire. Le déni de service mène à un ralentissement de l'appliance et à un redémarrage des services sld et tproxyd de manière inopinée. Page 13 /14

Solution de contournement Il est recommandé de désactiver les règles de filtrage implicites sur les services d'authentification, de webadmin et de vpn SSL, puis de les remplacer par un filtrage plus strict sur la source des connections. Versions impactées SNS 1.0.0 à 1.1.3 Solution Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Page 14 /14

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back