Avis ID vasco-sa-20150202-fantôme
Numéro de révision 1.0
Date de sortie 04 février 2015 13:50 UTC-1
Dernière mise à jour 04 février 2015 13:50 UTC-1
Résumé
Le 27 janvier 2015, des chercheurs en sécurité de Qualys ont annoncé publiquement une vulnérabilité dans la bibliothèque GNU C, connue sous le nom de glibc. La vulnérabilité, communément appelée GHOST, peut permettre à un attaquant local ou distant non authentifié de prendre le contrôle des systèmes. La première version vulnérable de la Bibliothèque GNU C est glibc-2,2, sortie le 10 novembre 2000.
Produits touchés
Les produits suivants sont affectés par la vulnérabilité GHOST :
- IDENTIKEY Fédération Serveur 1.4, 1.5
- IDENTIKEY Appliance (toutes les versions)
- aXsGUARD Gatekeeper (toutes les versions)
Description
La bibliothèque GNU C glibc est la mise en œuvre de la bibliothèque standard du langage de programmation C par le projet GNU. La bibliothèque standard C fournit des fonctions de base pour l'interaction avec les services du système d'exploitation, le traitement des entrées/sorties, l'allocation de mémoire et d'autres types de fonctions.
La bibliothèque GNU C contient une fonction nommée __nss_hostname_digits_dots(), qui est utilisée par le gethostbyname() et gethostbyname2()fonctions. Ces deux dernières fonctions permettent aux applications de résoudre les requêtes DNS.
La fonction __nss_hostname_digits_dots() contient un débordement de tampon basé sur un tas. Un attaquant local ou distant peut utiliser cette vulnérabilité pour exécuter du code arbitraire avec les autorisations de l'utilisateur exécutant l'application.
Cependant, les fonctions gethostbyname() et gethostbyname2() ont été dépréciées pendant environ quinze ans, principalement en raison du manque de soutien de IPv6.
La vulnérabilité est communément appelée GHOST, et a été attribué les vulnérabilités communes et les expositions (CVE) ID CVE-2015-0235.
Score de gravité
Le tableau ci-dessous indique le score de vulnérabilité CVSS 2.0 des différentes vulnérabilités.
Score de base CVSS: 10.0 |
|||||
Accès Vector |
Complexité d'accès |
Authentification | Impact sur la confidentialité | Impact sur l'intégrité | Impact sur la disponibilité |
réseau | Faible | Aucun | Complet | Complet | Complet |
Corrections de produits
OneSpan publiera les correctifs suivants :
- IDENTIKEY Federation Server 1.4.5 et 1.5.4 le 6 février 2015
- IDENTIKEY Appliance 3.8.9.0 en avril 2015
- Pour aXsGUARD Gatekeeper 8.1.0: Hotfix 001 le 6 février 2015
OneSpan recommande aux clients utilisant IDENTIKEY Authentication Server 3.4 SR1 et 3.5 de passer à la version 3.6. OneSpan recommande aux clients utilisant IDENTIKEY Authentication Server 3.6 de mettre à jour la bibliothèque glibc à l'aide du système de mise à jour de leur distribution.
Emplacement
Pour les produits aXsGUARD Gatekeeper :
OneSpan déploiera des correctifs via le service de mise à jour automatisée. Les clients qui ne permettent pas à leur système de recevoir mis à jour via ce service doivent contacter OneSpan pour obtenir des instructions sur la façon d'obtenir le patch.
Pour d'autres produits
Les clients ayant un contrat de maintenance peuvent obtenir des rejets de produits fixes de MyMaintenance. Les clients sans contrat de maintenance doivent contacter leur représentant commercial local.
référence
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
Avis de non-responsabilité juridique
BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT FAITS POUR TRAITER ET FOURNIR DES RENSEIGNEMENTS EXACTS, TOUT LE CONTENU ET L'INFORMATION CONTENUS DANS CE DOCUMENT SONT FOURNIS « TELS QUE C'EST » ET « COMME DISPONIBLES », SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE EXPRESSION OU IMPLICITE GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. VASCO SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES.
Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Tous droits réservés.