FREAK : vulnérabilité OpenSSL (CVE-2015-0204)
En janvier 2015, Red Hat Product Security a répondu à la vulnérabilité CVE-2015-0204 sous OpenSSL avec l'alerte suivante : RHSA-2015-0066 et RHSA-2015-0800. L'impact de cette vulnérabilité a été défini comme Modéré. Les médias font désormais référence à cette vulnérabilité par le terme FREAK.
Informations générales
Les clients OpenSSL acceptaient les clés (non sécurisées) EXPORT-grade y compris lorsque le client n'en avait pas fait la demande. Cette faille pouvait être exploitée par une attaque « man-in-the-middle », qui pouvait intercepter la requête initiale du client d'une clé standard et demander une clé EXPORT-grade au serveur. Le client acceptait ensuite la clé faible, permettant ainsi à une personne malveillante de décrypter les communications entre le client et le serveur.
Impact
Bien que l'utilisation des chiffrements EXPORT-grade soit désactivée par défaut sous les versions de OpenSSL disponibles avec les dernières versions de Red Hat Enterprise Linux (5.11, 6.6 et 7.1), celle-ci peut être activée par des applications qui utilisent la bibliothèque OpenSSL. Cette vulnérabilité affecte donc tous les systèmes Red Hat Enterprise Linux 5, 6 et 7, y compris les variantes Serveur, Poste de travail, Bureau et Nœud HPC, n'ayant pas installé la version fixe des packages OpenSSL.
La version de openssl097a disponible avec Red Hat Enterprise Linux 5 est également affectée. Étant donné que Red Hat Enterprise Linux 5 est désormais dans la phase Production 3 du cycle de vie de maintenance et support, au cours de laquelle seules des alertes de sécurité Critiques sont fournies, il n'est pour l'instant pas prévu que ce problème soit résolu dans les prochaines mises à jour.
Résolution
Pour éliminer les risques d'exploitation des clients OpenSSL, installez les packages OpenSSL mis à jour rendus disponibles à travers l'alerte suivante : RHSA-2015-0066 and RHSA-2015-0800.
Pour installer les mises à jour, utilisez le gestionnaire de package yum tel qu'indiqué ci-dessous :
yum update
Pour mettre à jour uniquement le package OpenSSL et ses dépendances, utilisez :
yum update openssl
Remarque : pour vous assurer que les clients dépourvus de patch se connectant à un serveur OpenSSL ne puisse pas être affecté par cette faille, il est recommandé de désactiver les chiffrements EXPORT-grade sur le serveur tel que décrit dans la section Prévention ci-dessous.
Remarque : la façon la plus sûre de vous assurer que tous les services affectés utilisent la bibliothèque ssl mise à jour consiste en un redémarrage du système après la mise à jour. Veuillez également consulter la sous-section ci-dessous si vous souhaitez éviter un redémarrage.
Redémarrage des procédés pour que les changements prennent effet
Tel que mentionné ci-dessus, la façon la plus simple et la plus sûre consiste en un redémarrage complet du système. Pour une alternative de redémarrage des services affectés, veuillez consulter les exemples d'étapes suivants :
Comment déterminer les procédés à redémarrer
Pour afficher les services affectés, effectuez une recherche grep de DEL en exécutant la commande lsof comme suit :
# lsof | grep DEL | grep -e crypto -e libssl
sshd 7708 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- sshd service
certmonge 7940 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- certmonger service
Xorg 7986 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- Xwindows service
sshd 8990 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- used by ssh login with bash shell
master 7796 root DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- postfix service
qmgr 7809 postfix DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- postfix service
tuned 7866 root DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- tuned service
pickup 9501 postfix DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- postfix service
httpd 9524 root DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- httpd service
httpd 9526 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9527 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9528 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9529 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9530 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9531 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9532 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9533 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9534 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9535 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
Pour redémarrer les services gérés par chkconfig :
# service sshd restart
# service certmonger restart
# service postfix restart
# service tuned restart
# service httpd restart
Pour redémarrer Xorg :
# init 3
# lsof | grep DEL | grep -e crypto -e libssl
# init 5
Puis vérifiez à nouveau et, pour supprimer la dernière liste, veuillez vous déconnecter :
# lsof | grep ssl | grep lib | grep DEL
sshd 8990 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- used by current ssh login with bash shell
# logout
Prévention pour les clients dépourvus de patch
Pour prévenir la vulnérabilité décrite dans cet article, vous pouvez désactiver les chiffrements EXPORT-grade sur votre client ou serveur. Il est recommandé d'appliquer cette méthode sur le serveur, particulièrement si vous ne pouvez pas vous assurer que tous les clients se connectant à votre serveur ont été corrigés.
Désactivation des chiffrements EXPORT en httpd
Pour désactiver l'utilisation des chiffrements de niveau EXPORT par le serveur internet httpd, ajoutez la directive !EXP à la ligne SSLCipherSuite dans le fichier de configuration /etc/httpd/conf.d/ssl.conf. Par exemple :
SSLCipherSuite HIGH:!aNULL:!MD5:!EXP
Après avoir modifié ssl.conf, veuillez redémarrer le service httpd.
# service httpd restart
Comments