Mise à jour de sécurité majeure d'OpenSSL Security : CVE-2014-0160 (Heartbleed)
On a découvert un défaut de divulgation d'informations dans la façon dont OpenSSL gère les protocoles TLS (Transport Layer Security) et DTLS (Datagram Transport Layer Security) de Heartbeat Extension. Cette faille est communément appelée le bug Heartbleed.
Un client ou un serveur TLS ou DTLS malveillant pouvait envoyer un package Heartbeat TLS ou DTLS spécialement conçu en vue de divulguer une portion limitée de mémoire à la demande d'un client ou d'un serveur connecté. À noter que les portions de mémoire divulguées pouvaient potentiellement comprendre des informations sensibles telles que les clés privées. ([CVE-2014-0160] (https://access.redhat.com/security/cve/CVE-2014-0160))
Ce problème n'affecte pas les versions d'openssl fournies avec Red Hat Enterprise Linux 5 et Red Hat Enterprise Linux 6.4 ou versions antérieures. Ce problème affecte Red Hat Enterprise Linux 7 beta, Red Hat Enterprise Linux 6.5, Red Hat Enterprise Virtualization Hypervisor 6.5 et Red Hat Storage 2.1, qui fournissaient openssl 1.0.1e.
- Pour obtenir plus d'informations sur la façon d'appréhender ce défaut dans Red Hat Enterprise Linux, veuillez consulter https://access.redhat.com/site/solutions/781793.
- Pour obtenir des informations sur la façon d'appréhender ce défaut dans Red Hat Enterprise Virtualization Hypervisor, veuillez consulter https://access.redhat.com/site/solutions/781843.
- Pour obtenir plus d'informations sur la façon d'appréhender ce défaut dans Red Hat Storage, veuillez consulter https://access.redhat.com/site/solutions/782053.
Une fois que vous aurez mis vos systèmes à jour, vous pourrez utiliser le détecteur [Red Hat Heartbleed Detector] (https://access.redhat.com/labs/heartbleed/) pour valider le fait que vos systèmes ont bien été sécurisés. Red Hat recommande ** fortement ** à ses clients de remplacer les clés SSL dans les systèmes qui ont été exposés à cette vulnérabilité puisque des rapports supplémentaires de la communauté de recherche de sécurité ont prouvé que des clés de systèmes vulnérables ont pu être usurpées . Pour plus d'informations, veuillez consulter [Recovering from the Heartbleed Vulnerability] (https://access.redhat.com/site/articles/786463)
Chronologie de Réponse
Veuillez consulter la version en anglais de ce communiqué pour voir la Chronologie de Réponse.
Communiqué sur la vulnérabilité de Red Hat Website
Le 7 avril 2014, le Projet OpenSSL a publié une mise à jour pour adresser la vulnérabilité identifiée par CVE-2014-0160 (également connue sous le nom « Heartbleed »).
Red Hat prend la sécurité au sérieux. Les sites suivants de Red Hat, qui transmettent des données client, n'étaient pas tributaires d'une bibliothèque OpenSSL vulnérable pour les communications SSL/TLS et n'étaient pas affectés par la vulnérabilité « Heartbleed » :
- www.redhat.com
- access.redhat.com (Red Hat Customer Portal)
- rhn.redhat.com (Red Hat Network)
