Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

En bref

HeartBleed : les fabricants de hardware engagés dans une course au patch

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Commentaires Commentaires fermés sur HeartBleed : les fabricants de hardware engagés dans une course au patch

La vulnérabilité HeartBleed concerne potentiellement toutes les implémentations d’OpenSSL : les serveurs web, évidemment, mais aussi les boîtiers hardwares. Des VPN SSL aux routeurs en passant par des téléphones VOIP, de nombreux matériels devront probablement être mis à jour.

Cisco a ainsi récemment annoncé avoir identifié 16 produits vulnérables, allant de son serveur de téléprésence VCS aux téléphones de la série Unified, en passant par le switch Ethernet MS200X ou encore le client AnyConnect pour iOS. Et la liste pourrait s’allonger car le fabricant indique enquêter sur la vulnérabilité d’une soixantaine d’autres solutions au total.

Juniper a de son côté publié une alerte pour huit de ses solutions, dont son VPN SSL (IVEOS) et son client Junos Pulse. Le fabricant propose des mises à jour pour IVEOS et promet un correctif pour Junos OS, dont la version 13.3 R1 est vulnérable.

Citrix s’en sort plutôt bien : sur la dizaine de solutions potentiellement concernées par HeartBleed, seul Citrix XenMobile App Controller est vulnérable. Les solutions Netscaler et VPN SSL, notamment, ne sont pas affectées.

F5 Networks indique que les solutions BIG IP agissent comme une terminaison de la connexion SSL, et donc l’attaque HeartBleed ne pourra pas révéler le contenu de la mémoire du serveur mais seulement celle de l’appliance. En revanche, BIG-IP 11.5.0 et 11.5.1 utilisent une version vulnérable d’OpenSSL pour l’accès à leur console d’administration. En outre, les clients BIG-IP Edge pour iOS, OSX, Linux et Windows sont vulnérables. Le fabriquant a publié une liste des solutions concernées.

Dell Sonicwall n’est pas affecté sur ses pare-feu et ses solutions de protection email. En revanche les appliances SRA SMB sont vulnérables, ainsi que les boîtiers E-Class Secure Remote Access. Dans les deux cas un correctif ou un hotfix sont disponibles.

Barracuda Networks annonce que son VPN SSL n’est pas vulnérable. Cependant le fabricant a publié une nouvelle version de son Barracuda Firewall, tout en précisant que la fonctionnalité de VPN SSL n’est pas vulnérable là encore, seulement l’accès à l’interface d’administration. Il n’empêche que la nouvelle version de Barracuda OS passe OpenSSL en version 1.0.1g.

Watchguard, enfin, indique que les appliances WatchGuard XTM et XCS sont vulnérables, et un correctif (XTM 11.8.3 CSP) devrait être bientôt publié.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.