Essai gratuit

Plusieurs problèmes OpenSSL affectant les produits OneSpan

Avis ID vasco-sa-20140605-openssl

Numéro de révision 1.0

Date de sortie 13 avril 2015 16:30 UTC

Dernière mise à jour 13 avril 2015 16:30 UTC

Résumé

Le 5 juin 2014, le projet OpenSSL a publié un avis de sécurité décrivant sept vulnérabilités dans la bibliothèque OpenSSL. Les vulnérabilités sont désignées comme suit :

  • Vulnérabilité SSL/TLS MITM
  • Défaut de récursion DTLS
  • Vulnérabilité d'un fragment invalide DTLS
  • SSL_MODE_RELEASE_BUFFERS déréférencement du pointeur NULL
  • SSL_MODE_RELEASE_BUFFERS injection de session ou refus de service
  • Anonyme Déni de service ECDH
  • Attaque de récupération Side-Channel D'ECDSA NONCE

Plusieurs produits OneSpan intègrent une version de la bibliothèque OpenSSL affectée par une ou plusieurs vulnérabilités qui pourraient permettre à un attaquant distant non authentifié d'effectuer une attaque man-in-the-middle, d'injecter des données de session SSL/TLS ou de perturber la disponibilité d'un service.

Produits touchés

Les produits suivants sont affectés par la vulnérabilité SSL/TLS MITM :
Serveurs SSL/TLS

  • Serveur IDENTIKEY 3.3, 3.4
  • IDENTIKEY Authentication Server 3.4 SR1, 3.5
  • IDENTIKEY Fédération Serveur 1.3, 1.4, 1.5
  • IDENTIKEY (Virtual) Appareil 3.4.5. (0,1)
  • IDENTIKEY (Virtual) Appareil 3.4.6. (0,1,2,3)
  • IDENTIKEY (Virtual) Appareil 3.5.7. (1,2,3,4)
  • aXsGUARD Gatekeeper 7.0.0 PL19, 7.1.0 PL6, 7.6.5, 7.7.0, 7.7.1, 7.7.2

Clients SSL/TLS

  • Outil de synchronisation LDAP 1.1, 1.2
  • Outil de migration de données 2.0, 2.1, 2.2, 2.3, 2.4
  • Authentification DIGIPASS pour Windows Logon 1.1, 1.2
  • DigIPASS Authentification pour Citrix Web Interface 3.3, 3.4, 3.5, 3.6
  • DigIPASS Authentification pour IIS - Base 3.3, 3.4, 3.5
  • DigIPASS Authentification pour l'accès Web Outlook - Base 3.3, 3.4, 3.5
  • DigIPASS Authentification pour l'accès Web Outlook - Formulaires 3.3, 3.4, 3.5
  • DigIPASS Authentification pour l'accès Web de bureau à distance 3.4, 3.5, 3.6
  • Authentification DIGIPASS pour le serveur RADIUS à ceinture d'acier 3.2, 3.3
  • Personnel aXsGUARD 1.1.3, 2.1.0

Les produits suivants sont affectés par la vulnérabilité de déréférencement du pointeur SSL_MODE_RELEASE_BUFFERS NULL :

  • IDENTIKEY Fédération Serveur 1.3, 1.4, 1.5
  • aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2

Les produits suivants sont affectés par l'injection de session SSL_MODE_RELEASE_BUFFERS ou la vulnérabilité par déni de service :

  • IDENTIKEY Fédération Serveur 1.3, 1.4, 1.5
  • aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2

Description

Le 5 juin 2014, le projet OpenSSL a publié un avis de sécurité décrivant sept vulnérabilités dans la bibliothèque OpenSSL.
L'impact de cette vulnérabilité sur les produits OneSpan varie selon le produit concerné.

SSL/TLS Man-in-the-Middle

Un attaquant distant non authentifié avec la capacité d'intercepter le trafic entre un client SSL/TLS affecté et un serveur SSL/TLS pourrait exécuter une attaque de l'homme dans le milieu. Cette vulnérabilité a été attribuée CVE-2014-0224.

SSL_MODE_RELEASE_BUFFERS déréférencement du pointeur NULL

Un attaquant distant non authentifié peut soumettre une demande malveillante conçue pour déclencher une déréférencement du pointeur NULL. Cela pourrait entraîner un refus partiel ou complet de l'état de service sur l'appareil affecté. Cette vulnérabilité a été attribuée CVE-2014-0198.

SSL_MODE_RELEASE_BUFFERS injection de session ou refus de service

Un attaquant distant non authentifié peut soumettre une demande malveillante destinée à injecter du contenu dans une session SSL/TLS parallèle ou à créer une condition de refus de service. Cette vulnérabilité a été attribuée CVE-2010-5298.

Pour plus de détails, les clients sont dirigés vers l'avis de sécurité du projet OpenSSL : http://www.openssl.org/news/secadv_20140605.txt

Score de gravité

Les tableaux ci-dessous indiquent le score de vulnérabilité CVSS 2.0 des différentes vulnérabilités.

SSl/TLS Man-in-the-Middle

Score temporel CVSS: 3.6

Score de base CVSS: 4.3
Accès Vector Complexité d'accès

Authentification

 Impact sur la confidentialité Impact sur l'intégrité Impact sur la disponibilité
réseau Médium Aucun Aucun qui aime bien Aucun
Exploitabilité Niveau d'assainissement Confiance du rapport
fonctionnel Correction officielle Confirmé

 

SSL_MODE_RELEASE_BUFFERS déréférencement du pointeur NULL

Score de base CVSS: 7.1

Accès Vector

Complexité d'accès

Authentification

 Impact sur la confidentialité Impact sur l'intégrité Impact sur la disponibilité
réseau Médium Aucun Aucun Aucun Complet
Score temporel CVSS: 7.8
Exploitabilité Niveau d'assainissement Confiance du rapport
fonctionnel Correction officielle Confirmé

 

SSL_MODE_RELEASE_BUFFERS injection de session ou refus de service

Score de base CVSS: 7.8
Accès Vector Complexité d'accès Authentification Impact sur la confidentialité Impact sur l'intégrité Impact sur la disponibilité
réseau Médium Aucun Aucun qui aime bien Complet
Score temporel CVSS: 6.4
Exploitabilité Niveau d'assainissement Confiance du rapport
fonctionnel Correction officielle Confirmé

 

Corrections de produits

OneSpan a publié des correctifs pour les produits suivants:

  • IDENTIKEY Federation Server 1.3.2, 1.4.2, 1.5.1 le 13 juin 2014

OneSpan publiera les correctifs suivants :

  • IDENTIKEY Authentication Server 3.5.4 le 23 juin 2014
  • IDENTIKEY (Virtual) Appliance 3.5.7.5 le 23 juin 2014
  • aXsGUARD Gatekeeper 7.7.3, dont la date de sortie sera annoncée plus tard

Les clients utilisant IDENTIKEY Server 3.3 ou 3.4 et les clients utilisant IDENTIKEY Authentication Server 3.4 SR1 sont recommandés de passer à IDENTIKEY Authentication Server 3.5 et d'appliquer le correctif approprié pour cette version.
Les clients utilisant aXsGUARD Gatekeeper sont recommandés de passer à aXsGUARD Gatekeeper 7.7.3.
Les clients utilisant un produit côté client affecté par la vulnérabilité SSL/TLS Man-in-the-Middle sont recommandés pour mettre à niveau le produit correspondant côté serveur. Cette approche permettra d'éviter tout impact car un produit vulnérable côté client et serveur est nécessaire pour exploiter la vulnérabilité.

Emplacement

Les clients ayant un contrat de maintenance peuvent obtenir des rejets de produits fixes de MyMaintenance.

référence

http://www.openssl.org/news/secadv_20140605.txt

Avis de non-responsabilité juridique

BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT FAITS POUR TRAITER ET FOURNIR DES RENSEIGNEMENTS EXACTS, TOUT LE CONTENU ET L'INFORMATION CONTENUS DANS CE DOCUMENT SONT FOURNIS « TELS QUE C'EST » ET « COMME DISPONIBLES », SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE EXPRESSION OU IMPLICITE GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. VASCO SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES. 

Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Tous droits réservés.

🖨 multiples problèmes OpenSSL affectant le produit OneSpans