Vulnérabilité SSL 3.0 POODLE dans les produits OneSpan

Avis ID vasco-sa-20141017-poodle

Numéro de révision 1.0

Date de sortie 17 octobre 2014 13:52 UTC-1

Dernière mise à jour 17 octobre 2014 13:52 UTC-1

Résumé

Le 14 octobre 2014, des chercheurs en sécurité de Google ont annoncé publiquement une vulnérabilité dans la version 3.0 du protocole Secure Sockets Layer (SSL). La vulnérabilité permet à un attaquant distant non authentifié de déchiffrer des parties de communications qui sont cryptées à l'aide du mode de fonctionnement de La chaîne de blocs de chiffrement (CBC) pour les chiffrements de blocs. La vulnérabilité est communément appelée Padding Oracle On Downgraded Legacy Encryption (POODLE).

Produits touchés

Les produits suivants sont affectés par la vulnérabilité POODLE :

  • Serveur IDENTIKEY 3.3, 3.4
  • IDENTIKEY Authentication Server 3.4 SR1, 3.5
  • IDENTIKEY Fédération Serveur 1.3, 1.4, 1.5
  • IDENTIKEY Appareil 3.2.4. {2,3}, 3.4.5. {0,1}, 3.4.6. {0,1}
  • Appareil virtuel IDENTIKEY 3.4.6. {0,1}
  • aXsGUARD Gatekeeper (toutes les versions)

Description

Secure Sockets Layer (SSL) 3.0 est un protocole cryptographique utilisé pour protéger la confidentialité et l'intégrité des données échangées sur les réseaux IPv4 et IPv6. Le 14 octobre 2014, des chercheurs en sécurité de Google ont publiquement annoncé une vulnérabilité dans le protocole SSL 3.0. La vulnérabilité permet à un attaquant distant non authentifié qui agit comme un homme au milieu de déchiffrer des parties de communications qui sont cryptées à l'aide du mode de fonctionnement de La chaîne de blocs de chiffrement (CBC) pour les chiffrements de blocs. Plus précisément, la vulnérabilité permet à l'attaquant de déchiffrer un certain octet de chiffrement texteuse avec au plus 256 tentatives. La vulnérabilité existe en raison de la séquence de cryptage et d'authentification des messages, et en raison du type de rembourrage dans SSL 3.0.

La vulnérabilité est communément appelée Padding Oracle On Downgraded Legacy Encryption (POODLE). Elle ne s'applique pas aux protocoles de sécurité des couches de transport (TLS).

Cette vulnérabilité a été attribuée à l'ID CVE-2014-3566, ID CVE-2014-3566.

Score de gravité

Le tableau ci-dessous indique le score de vulnérabilité CVSS 2.0 des différentes vulnérabilités.

Score de base CVSS: 2.6

Accès Vector Complexité d'accès Authentification Impact sur la confidentialité Impact sur l'intégrité Impact sur la disponibilité
réseau Haute Aucun qui aime bien Aucun Aucun

 

Score temporel CVSS: 2.5
Exploitabilité Niveau d'assainissement Confiance du rapport
fonctionnel Indisponible Confirmé

 

Corrections de produits

OneSpan publiera les correctifs suivants :

  • IDENTIKEY Federation Server 1.4.4, 1.5.3 le 22 octobre 2014

OneSpan publiera les produits suivants :

  • aXsGUARD Gatekeeper 8.0.0, à partir du 23 octobre 2014

Les clients utilisant IDENTIKEY Federation Server 1.3 sont recommandés pour mettre à niveau IDENTIKEY Federation Server 1.4 ou 1.5 et appliquer le patch correspondant.

Les clients utilisant les versions impactées d'IDENTIKEY Server ou IDENTIKEY Authentication Server sont recommandés de passer à IDENTIKEY Authentication Server 3.6, dans lequel SSL 3.0 est désactivé par défaut. Alternativement, les clients peuvent désactiver manuellement SSL 3.0 et activer TLS 1.x.

Les clients utilisant des versions impactées de l'appareil IDENTIKEY ou de l'appareil virtuel IDENTIKEY sont recommandés de passer à l'appareil IDENTIKEY (Virtuel) 3.4.6.2 ou plus, dans lequel SSL 3.0 est désactivé par défaut.

Les clients utilisant des versions impactées d'aXsGUARD Gatekeeper peuvent désactiver manuellement SSL 3.0 ou passer à la version 8.0.0, dans laquelle SSL 3.0 est désactivé par défaut.

Emplacement

Pour les produits aXsGUARD Gatekeeper :

OneSpan déploiera des correctifs via le service de mise à jour automatisée. Les clients qui ne permettent pas à leur système de recevoir mis à jour via ce service doivent contacter OneSpan pour obtenir des instructions sur la façon d'obtenir le patch.

Pour les autres produits :

Les clients ayant un contrat de maintenance peuvent obtenir des rejets de produits fixes de MyMaintenance. Les clients sans contrat de maintenance doivent contacter leur représentant commercial local.

référence

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566

https://www.openssl.org/~bodo/ssl-poodle.pdf

Avis de non-responsabilité juridique

BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT FAITS POUR TRAITER ET FOURNIR DES RENSEIGNEMENTS EXACTS, TOUT LE CONTENU ET L'INFORMATION CONTENUS DANS CE DOCUMENT SONT FOURNIS « TELS QUE C'EST » ET « COMME DISPONIBLES », SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE EXPRESSION OU IMPLICITE GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. VASCO SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES.

Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Tous droits réservés.

🖨 vulnérabilité SSL 3.0 POODLE dans OneSpan produits