FREAK : vulnérabilité OpenSSL (CVE-2015-0204)

En janvier 2015, Red Hat Product Security a répondu à la vulnérabilité CVE-2015-0204 sous OpenSSL avec l'alerte suivante : RHSA-2015-0066 et RHSA-2015-0800. L'impact de cette vulnérabilité a été défini comme Modéré. Les médias font désormais référence à cette vulnérabilité par le terme FREAK.

Informations générales

Les clients OpenSSL acceptaient les clés (non sécurisées) EXPORT-grade y compris lorsque le client n'en avait pas fait la demande. Cette faille pouvait être exploitée par une attaque « man-in-the-middle », qui pouvait intercepter la requête initiale du client d'une clé standard et demander une clé EXPORT-grade au serveur. Le client acceptait ensuite la clé faible, permettant ainsi à une personne malveillante de décrypter les communications entre le client et le serveur.

Impact

Bien que l'utilisation des chiffrements EXPORT-grade soit désactivée par défaut sous les versions de OpenSSL disponibles avec les dernières versions de Red Hat Enterprise Linux (5.11, 6.6 et 7.1), celle-ci peut être activée par des applications qui utilisent la bibliothèque OpenSSL. Cette vulnérabilité affecte donc tous les systèmes Red Hat Enterprise Linux 5, 6 et 7, y compris les variantes Serveur, Poste de travail, Bureau et Nœud HPC, n'ayant pas installé la version fixe des packages OpenSSL.

La version de openssl097a disponible avec Red Hat Enterprise Linux 5 est également affectée. Étant donné que Red Hat Enterprise Linux 5 est désormais dans la phase Production 3 du cycle de vie de maintenance et support, au cours de laquelle seules des alertes de sécurité Critiques sont fournies, il n'est pour l'instant pas prévu que ce problème soit résolu dans les prochaines mises à jour.

Résolution

Pour éliminer les risques d'exploitation des clients OpenSSL, installez les packages OpenSSL mis à jour rendus disponibles à travers l'alerte suivante : RHSA-2015-0066 and RHSA-2015-0800.

Pour installer les mises à jour, utilisez le gestionnaire de package yum tel qu'indiqué ci-dessous :

yum update

Pour mettre à jour uniquement le package OpenSSL et ses dépendances, utilisez :

yum update openssl

Remarque : pour vous assurer que les clients dépourvus de patch se connectant à un serveur OpenSSL ne puisse pas être affecté par cette faille, il est recommandé de désactiver les chiffrements EXPORT-grade sur le serveur tel que décrit dans la section Prévention ci-dessous.

Remarque : la façon la plus sûre de vous assurer que tous les services affectés utilisent la bibliothèque ssl mise à jour consiste en un redémarrage du système après la mise à jour. Veuillez également consulter la sous-section ci-dessous si vous souhaitez éviter un redémarrage.

Redémarrage des procédés pour que les changements prennent effet

Tel que mentionné ci-dessus, la façon la plus simple et la plus sûre consiste en un redémarrage complet du système. Pour une alternative de redémarrage des services affectés, veuillez consulter les exemples d'étapes suivants :

Comment déterminer les procédés à redémarrer

Pour afficher les services affectés, effectuez une recherche grep de DEL en exécutant la commande lsof comme suit :

# lsof | grep DEL | grep -e crypto -e libssl

sshd      7708      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- sshd service
certmonge 7940      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- certmonger service
Xorg      7986      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- Xwindows service
sshd      8990      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- used by ssh login with bash shell
master    7796      root  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- postfix service
qmgr      7809   postfix  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- postfix service
tuned     7866      root  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- tuned service
pickup    9501   postfix  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- postfix service
httpd     9524      root  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- httpd service
httpd     9526    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9527    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9528    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9529    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9530    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9531    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9532    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9533    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9534    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9535    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e

Pour redémarrer les services gérés par chkconfig :

# service sshd restart
# service certmonger restart
# service postfix restart
# service tuned restart
# service httpd restart

Pour redémarrer Xorg :

# init 3
# lsof | grep DEL | grep -e crypto -e libssl
# init 5

Puis vérifiez à nouveau et, pour supprimer la dernière liste, veuillez vous déconnecter :

# lsof | grep ssl | grep lib | grep DEL
sshd      8990      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- used by current ssh login with bash shell
# logout

Prévention pour les clients dépourvus de patch

Pour prévenir la vulnérabilité décrite dans cet article, vous pouvez désactiver les chiffrements EXPORT-grade sur votre client ou serveur. Il est recommandé d'appliquer cette méthode sur le serveur, particulièrement si vous ne pouvez pas vous assurer que tous les clients se connectant à votre serveur ont été corrigés.

Désactivation des chiffrements EXPORT en httpd

Pour désactiver l'utilisation des chiffrements de niveau EXPORT par le serveur internet httpd, ajoutez la directive !EXP à la ligne SSLCipherSuite dans le fichier de configuration /etc/httpd/conf.d/ssl.conf. Par exemple :

SSLCipherSuite HIGH:!aNULL:!MD5:!EXP

Après avoir modifié ssl.conf, veuillez redémarrer le service httpd.

# service httpd restart

Informations supplémentaires

Red Hat Security Blog sur CVE-2015-0204

Was this helpful?

We appreciate your feedback. Leave a comment if you would like to provide more detail.
It looks like we have some work to do. Leave a comment to let us know how we could improve.