En brefHeartBleed : les fabricants de hardware engagés dans une course au patch Jerome Saiz le 11 avril 2014 à 14h58, dans la rubrique Produits & Technologies Commentaires fermés sur HeartBleed : les fabricants de hardware engagés dans une course au patch heartbleedssl/tlsvpn ssl La vulnérabilité HeartBleed concerne potentiellement toutes les implémentations d’OpenSSL : les serveurs web, évidemment, mais aussi les boîtiers hardwares. Des VPN SSL aux routeurs en passant par des téléphones VOIP, de nombreux matériels devront probablement être mis à jour. Cisco a ainsi récemment annoncé avoir identifié 16 produits vulnérables, allant de son serveur de téléprésence VCS aux téléphones de la série Unified, en passant par le switch Ethernet MS200X ou encore le client AnyConnect pour iOS. Et la liste pourrait s’allonger car le fabricant indique enquêter sur la vulnérabilité d’une soixantaine d’autres solutions au total. Juniper a de son côté publié une alerte pour huit de ses solutions, dont son VPN SSL (IVEOS) et son client Junos Pulse. Le fabricant propose des mises à jour pour IVEOS et promet un correctif pour Junos OS, dont la version 13.3 R1 est vulnérable. Citrix s’en sort plutôt bien : sur la dizaine de solutions potentiellement concernées par HeartBleed, seul Citrix XenMobile App Controller est vulnérable. Les solutions Netscaler et VPN SSL, notamment, ne sont pas affectées. F5 Networks indique que les solutions BIG IP agissent comme une terminaison de la connexion SSL, et donc l’attaque HeartBleed ne pourra pas révéler le contenu de la mémoire du serveur mais seulement celle de l’appliance. En revanche, BIG-IP 11.5.0 et 11.5.1 utilisent une version vulnérable d’OpenSSL pour l’accès à leur console d’administration. En outre, les clients BIG-IP Edge pour iOS, OSX, Linux et Windows sont vulnérables. Le fabriquant a publié une liste des solutions concernées. Dell Sonicwall n’est pas affecté sur ses pare-feu et ses solutions de protection email. En revanche les appliances SRA SMB sont vulnérables, ainsi que les boîtiers E-Class Secure Remote Access. Dans les deux cas un correctif ou un hotfix sont disponibles. Barracuda Networks annonce que son VPN SSL n’est pas vulnérable. Cependant le fabricant a publié une nouvelle version de son Barracuda Firewall, tout en précisant que la fonctionnalité de VPN SSL n’est pas vulnérable là encore, seulement l’accès à l’interface d’administration. Il n’empêche que la nouvelle version de Barracuda OS passe OpenSSL en version 1.0.1g. Watchguard, enfin, indique que les appliances WatchGuard XTM et XCS sont vulnérables, et un correctif (XTM 11.8.3 CSP) devrait être bientôt publié. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!