[Cet article sera mis à jour régulièrement]
Une faille de sécurité critique Heartbleed a été identifiée dans les bibliothèques OpenSSL. Elle permet à un attaquant externe, non authentifié, de récupérer le contenu de la mémoire du serveur.
Les tests que nous avons menés ont montré qu’il était possible de récupérer les données échangées avec le serveur (dont les logins / mots de passe des utilisateurs), ainsi que des fichiers de configuration.
Recommandations
1- Nous recommandons dans un premier temps de réaliser un inventaire des équipements utilisant ces bibliothèques, et de procéder à un test de vulnérabilité : soit par l’analyse de la version installée , soit via l’utilisation d’un script ;
2- Ensuite, d’appliquer les correctifs de sécurité ;
3- Il est également recommandé de considérer comme compromises les informations ayant transité par ces équipements, et de forcer un renouvellement des mots de passe (utilisateurs, serveurs, etc) ;
4- La clé privée du serveur pouvant également être impactée, il est recommandé de considérer la révocation et le renouvellement des certificats concernés, à minima sur les systèmes sensibles.
Produits concernés
- OpenSSL 1.0.1 à 1.0.1f et OpenSSL 1.0.2-beta
- Les branches 0.9.8 et 1.0.0 ne sont pas vulnérables
Attention, de nombreuses solutions packagées et appliances reposent sur ces bibliothèques et sont vulnérables : reverse proxy, passerelle VPN, etc.
Cet article sera complété dans les prochaines heures ; pour plus de précisions, vous pouvez contacter le CERT-Solucom.
