Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Un déni de service pour OpenSSL frappe les produits Cisco

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur Un déni de service pour OpenSSL frappe les produits Cisco

Un déni de service a été découvert au coeur de l’outil libre OpenSSL. Il suffirait pour l’exploiter de soumettre une requête malformée à la librairie de chiffrement. OpenSSL est très utilisé, y compris au sein de produits commerciaux. Cette faille frappe ainsi plusieurs produits Cisco, dont des switches, des routeurs et des pare-feu.


La vulnérabilité découverte dans OpenSSL permet de faire crasher à l’aide d’une requête malformée les produits qui exploitent l’outil libre. L’attaque a lieu au moment de l’initialisation d’une connexion sécurisée SSL/TLS (la fameuse « poignée de main » chère au protocole TCP). OpenSSL étant très utilisé, notamment aux côtés du serveur web Libre Apache, cette faille concerne potentiellement de très nombreux systèmes. Et parmi ces derniers, nombreux sont ceux embarqués au sein de boîtiers matériels : le couple Apache / OpenSSL offre en effet une solution d’administration web sécurisée idéale pour les constructeurs de matériel, et, surtout, gratuite.

Cisco est le premier fabriquant à avoir raconnu être touché par cette faille, et à publier les correctifs nécessaires. La société utilise OpenSSL dans de nombreux produits, dont certains pare-feu PIX, des routeurs de la gamme 7000 et Catalyst, ainsi que des switches de la gamme MDS et plusieurs autres applications. Une liste complète est disponible sur le site de l’éditeur.

En ce qui concerne OpenSSL lui-même, deux nouvelles versions sont disponibles, qui corrigent la vulnérabilité (0.9.7d et 0.9.6m).

L’alerte chez OpenSSL (en Anglais).

http://www.openssl.org/news/secadv_20040317.txt


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.