Vulnérabilité de Falsification de certificat dans OpenSSL

Numéro : AV15-061
Date : le 9 juillet 2015

Objet

Le présent avis vise à attirer l'attention à une vulnérabilité de falsification de certificat dans OpenSSL.

Évaluation

Cette vulnérabilité peut être utilisé pour permettre à des attaquants de contourner les contrôles sur les certificats non fiables, leur permettant d'utiliser une feuille de certificat valide comme une autorité de certification et ainsi d'émettre un certificat non valide.

Cela aura une incidence sur toutes les applications qui vérifient  les certificats, y compris les clients SSL / TLS / DTLS et serveurs SSL / TLS / DTLS utilisant l'authentification du client.

Il convient de noter que de nombreux produits matériels et logiciels utilisent OpenSSL avec une intégration qui ne sont pas toujours claire et visible.

Version affectées:
OpenSSL 1.0.1n, 1.0.1o, 1.0.2b and 1.0.2c.

Référence CVE : CVE-2015-1793

Mesure suggérée

Le CCRIC recommande que les administrateurs de système testent les mises à jour publiées par le fournisseur et qu'ils les appliquent aux applications touchées en conséquence.

Les nouvelles versions d'OpenSSL libérés 1.0.1p et 1.0.2d comprennent le correctif de sécurité.

Le CCRIC recommande aux organisations de consulter leurs fournisseurs pour savoir si leurs produits utilisent des versions vulnérables d'OpenSSL. Comme les mises à jour des fournisseurs deviennent disponibles, les organisations devraient tester et déployer des mises à jour des applications affectées en conséquence.

Références

https://www.openssl.org/news/secadv_20150709.txt (en anglais)
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2015-1793 (en anglais)

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :