Risque
- Déni de service ;
- Exécution de code arbitraire à distance.
Systèmes affectés
Tout système utilisant OpenSSL pour implémenter les protocoles de session SSL et TLS. En particulier le module mod_ssl d'Apache ou les implémentations TLS des serveurs de messagerie Sendmail, Postfix, Qmail,... et les services POP ou IMAP sécurisés par Stunnel sont impactés.
Résumé
Un utilisateur mal intentionné peut transmettre un certificat volontairement mal formé qui entraînera un déni de service ou l'exécution de code arbitraire sur l'hôte destinataire.
Description
Les certificats, utilisés par les protocoles SSL/TLS, sont des structures codées à l'aide d'un langage standard, ASN.1 (Abstract Syntax Notation One). Lors du traitement de données ne respectant volontairement pas les règles de ce langage, le décodeur peut mal gérer l'information reçue.
Trois vulnérabilités associées ont été découvertes dans OpenSSL :
- l'usage d'une balise ASN.1 peu usitée peut provoquer un accès mémoire incohérent engendrant un déni de service (références CAN-2003-0543 et CAN-2003-0544) ;
- une clé publique invalide peut arrêter inopinément le décodeur lorsqu'il lui est spécifié d'ignorer les erreurs (configuration employée en test et non en production) ;
- des structures ASN.1 rejetées comme invalides provoquent de mauvaises gestions de la mémoire qui pourraient être exploitées pour exécuter du code arbitraire à distance (référence CAN-2003-0545).
Solution
Mettre à jour OpenSSL.
- Code source d'OpenSSL en versions 0.9.6l ou 0.9.7c au moins :
http://www.openssl.org
- Linux Red Hat :
https://rhn.redhat.com/errata/RHSA-2003-290.html
https://rhn.redhat.com/errata/RHSA-2003-291.html
https://rhn.redhat.com/errata/RHSA-2003-292.html
https://rhn.redhat.com/errata/RHSA-2003-293.html
- Mandrake Linux :
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:098
- Slackware Linux :
http://slackware.com/security/viewer.php?l=slackware-security&y=2003&m=slackware-security.464492
- SuSE Linux :
http://www.suse.com/de/security/2003_043_openssl.html
- Debian GNU/Linux :
http://www.debian.org/security/2003/dsa-393
- Apple MacOS X :
http://docs.info.apple.com/article.html?artnum=61798
- OpenBSD :
http://www.openbsd.com/errata.html#asn1
- FreeBSD :
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:18.openssl.asc
- NetBSD :
- OpenSSL versions 0.9.7 :
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2003-017.txt.asc
- OpenSSL versions 0.9.6 :
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2004-003.txt.asc
- OpenSSL versions 0.9.7 :
- SGI Irix :
ftp://patches.sgi.com/support/free/security/advisories/20030904-01-P.asc
- HP-UX :
- Serveur web Apache :
http://www4.itrc.hp.com/service/cki/docDisplay?docId=HPSBUX0310-284
http://www4.itrc.hp.com/service/cki/docDisplay?docId=HPSBUX0310-285
- ``AAA Server'' :
http://www4.itrc.hp.com/service/cki/docDisplay?docId=HPSBUX0310-286
- ``HP WBEM Services'' :
http://www4.itrc.hp.com/service/cki/docDisplay?docId=HPSBUX0310-288
- Serveur web Apache :
- Cisco :
http://www.cisco.com/warp/public/707/cisco-sa-20030930-ssl.shtml
- Stunnel :
http://www.stunnel.org
- Nortel Networks ``Alteon Switched Firewall'', ``Alteon iSD - SSL Accelerator'', CallPilot, Contivity, ``Succesion Communication Server 2000 - Compact'' et ``Preside Service Provisioning'' :
Contacter le revendeur.
- Sun Linux et Cobalt :
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/57100
- SunPlex (Sun Cluster) :
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/57475
- Sun Java System Web Server et Java System Application Server :
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/57498
- Novell eDirectory :
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2967568.htm
- Check Point :
Contacter le revendeur.
- Oracle9i database et application server, Oracle HTTP Server :
http://otn.oracle.com/deploy/security/pdf/2003alert62.pdf
- VMWare GSX et ESX Server :
http://www.wmware.com/support/kb/enduser/std_adp.php?p_faqid=1165
- SSH Secure Shell :
http://www.ssh.com/company/newsroom/article/476
- SSH Sentinel :
http://www.ssh.com/company/newsroom/article/477
Documentation
- Avis de sécurité 006489/TLS du NISCC :
http://www.uniras.gov.uk/vuls/2003/006489/tls.htm
- Avis de sécurité 006489/OpenSSL du NISCC :
http://www.uniras.gov.uk/vuls/2003/006489/openssl.htm
- Avis de sécurité OpenSSL :
http://www.openssl.org/news/secadv_20030930.txt
http://www.openssl.org/news/secadv_20031104.txt
- Avis de sécurité du CERT/CC du 1er octobre 2003 :
http://www.cert.org/advisories/CA-2003-26.html
- Suivi des vulnérabilités OpenSSL du CERT/CC :
http://www.kb.cert.org/vuls/id/935264
http://www.kb.cert.org/vuls/id/732952
http://www.kb.cert.org/vuls/id/686224
http://www.kb.cert.org/vuls/id/380864
http://www.kb.cert.org/vuls/id/255484
- Suivi des vulnérabilités des autres implémentations SSL/TLS du CERT/CC :
http://www.kb.cert.org/vuls/id/104280
- Référence CVE CAN-2003-0543 :
https://www.cve.org/CVERecord?id=CAN-2003-0543
- Référence CVE CAN-2003-0544 :
https://www.cve.org/CVERecord?id=CAN-2003-0544
- Référence CVE CAN-2003-0545 :
https://www.cve.org/CVERecord?id=CAN-2003-0545
- Référence CVE CAN-2003-0851 :
https://www.cve.org/CVERecord?id=CAN-2003-0851