Avis de sécurité : la vulnérabilité critique dans OpenSSL affecte les produits Sophos

  • N°Id de l'article : 120854
  • Mis à jour : 30 avr. 2014

Une vulnérabilité critique a été trouvée dans OpenSSL le 7 avril 2014. Le présent article fournit des informations aux clients Sophos sur les produits affectés par cette vulnérabilité et sur la procédure à suivre pour corriger cette vulnérabilité.

Important :  le présent article sera mis à jour si d'autres informations doivent être communiquées.  Nous vous conseillons donc de revenir régulièrement consulter cet article pour obtenir des informations actualisées.

S'applique aux produits et aux versions Sophos suivants

Sophos UTM
Sophos Cloud
Sophos Anti-Virus for VMware vShield

De quelle vulnérabilité s'agit-il ?

Les informations CVE officielles peuvent être suivies ici. Elles mentionnent les versions d'Open SSL utilisées dans certains produits Sophos (voir ci-dessous).

La vulnérabilité décrite corrompt la mesure du bon fonctionnement du TLS pour révéler de larges quantités de données sensibles de la mémoire système de tous les systèmes exécutant des versions d'OpenSSL affectées dans le monde. Seuls les services exposés sont immédiatement affectés car le bug permet de procéder à la lecture à partir de la propre mémoire des processus.

Retrouvez plus d'informations sur notre blog Naked Security : anatomie d'une problème de fuites de données causées par la saturation de la mémoire tampon d' OpenSSL par « Heartbleed »

Quelles versions d'Open SSL sont affectées ?

Les versions bêta 1.0.1 et 1.0.2 d'OpenSSL sont affectées, notamment les versions 1.0.1f et 1.0.2-beta1.

Quels produits sont affectés et comment colmater cette vulnérabilité ?

Le tableau ci-dessous répertorie tous les produits Sophos affectés.  Important : bien que d'autres produits utilisent SSL, ils ne sont pas affectés et aucune intervention n'est nécessaire.

Si vous utilisez un ou plusieurs produits mentionnés ci-dessous, ce tableau vous indique la bonne marche à suivre.

Produit Sophos Étapes à suivre pour résoudre le problème
UTM 9.1

Un correctif pour cette vulnérabilité est disponible dans UTM 9.1.  Veuillez effectuer les étapes suivantes :

  1. Installez le correctif
  2. Imprimez votre configuration
  3. Redémarrez l'UTM
  4. Générez de nouveau les certificats
  5. Modifiez vos mots de passe

Retrouvez plus de renseignements dans l'article 120851.

UTM 9.2
Serveurs UTM LiveConnect Correctif appliqué le 09 avril 2014.  
UTM Manager 4.105

Correctif appliqué dans 4.106-2. Disponible.

Veuillez appliquer le correctif de la manière suivante :

  1. Connectez-vous à SUM WebAdmin sur le port 4444 (pas Gateway Manager qui se trouve par défaut sur le port 4422)
  2. Naviguez jusqu'à Gestion | Up2Date | Présentation et utilisez « Mettre à jour avec la dernière version » pour installer le firmware Up2Date
  3. Cliquez sur « Voir la progression Up2Date dans une nouvelle fenêtre » pour ouvrir une autre fenêtre de navigateur qui vous indiquera la progression de l'installation Up2Date. L'administrateur système recevra un e-mail à la fin du processus d'installation d'Up2Date.

Vous pouvez également télécharger le package Up2Date à partir de notre serveur FTP et l'installer sous Gestion | Up2Date | Avancés :

Procédez d'abord à la mise à jour de 4.105 vers 4.106 :

Télécharger SUM 4.106 (MD5)

Procédez ensuite à la mise à jour de 4.106 vers 4.106-2 :

Télécharger SUM 4.106-2 (MD5)

SAV pour vShield

Une nouvelle version du programme d'installation (version 1.1.6) corrigeant cette vulnérabilité est désormais au téléchargement

Clients de la version 1.0 de Sophos Anti-Virus pour VMware vShield :

Veuillez procéder à la mise à niveau à la version 1.1.6 qui inclut un assistant de désinstallation et d'installation vous aidant à effectuer le mise à niveau. Retrouvez plus d'informations sur la mise à niveau dans le Guide de mise à niveau de Sophos Anti-Virus pour VMware vShield.

Clients de la version 1.1.4 de Sophos Anti-Virus pour VMware vShield :

Vous pouvez :

  1. Corriger la vulnérabilité immédiatement en téléchargeant et en exécutant le nouveau programme d'installation SAV pour Vshield 1.1.6 à partir de la page Web de téléchargements MySophos. 

    OU

  2. Attendre la mise à jour automatique de votre installation actuelle qui aura lieu à partir du 22 avril. Il s'agit de la procédure normale de mise à jour mensuelle des logiciels antivirus de Sophos et aucune intervention de votre part n'est requise.

Remarque : retrouvez plus d'informations sur les produits VMware et sur l'état de la vulnérabilité OpenSSL dans l'avis de sécurité publié par VMware http://www.vmware.com/security/advisories/VMSA-2014-0004

 Sophos Cloud Nous avons immédiatement appliqué un correctif sur cloud.sophos.com afin d'assurer sa protection contre la vulnérabilité. Nous n'avons pas encore observé d'attaques lancées contre la plate-forme. Selon les recommandations en vigueur, nous vous encourageons vivement à mettre à jour votre mot de passe cloud.sophos.com par simple mesure de précaution.

Retrouvez plus d'informations sur les autres produits Sophos et sur cette vulnérabilité :

Important :

Trois conditions principales sont requises pour colmater la vulnérabilité d'OpenSSL, assurer la protection contre toutes les prochaines tentatives d'exploitation et pour limiter les risques de sécurité si vos certificats ont déjà été compromis.

  1. Appliquez le correctif OpenSSL
  2. Générez de nouveau tous les certificats SSL
  3. Modifiez tous vos mots de passe

Où puis-je trouver le correctif et les instructions pour générer de nouveau tous les certificats SSL ?

Les correctifs disponibles pour UTM sont répertoriés dans l'article Heartbleed : étapes conseillées pour l'UTM.  Nous ajouterons tous les renseignements nécessaires sur les autres correctifs dès que possible.  Veuillez consulter cette page régulièrement pour d'autres mises à jour

 
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.

Évaluez cet article

Très mauvais Excellent

Commentaires