L'équipement de réseau d'entreprise vulnérable au cœur

14

Le 09/04/2014, la vulerabilité de The Heartbleed a été révélée par l'équipe d'OpenSSL .

Le bug Heartbleed est une vulnérabilité grave de la bibliothèque logicielle de cryptographie OpenSSL. Cette faiblesse permet de voler les informations protégées, dans des conditions normales, par le cryptage SSL / TLS utilisé pour sécuriser Internet.

Pouvons-nous établir une liste de périphériques réseau d'entreprise qui sont vulnérables au cœur ?

security 
radicetrentasei
source
1
Naturellement, quelque chose dans le vaste océan de systèmes embarqués en réseau utilisait des bibliothèques openssl vulnérables; cependant, quel est le but de votre question? Voulez-vous créer une liste des appareils vulnérables? Si c'est le cas, veuillez en faire un wiki communautaire ... dans la plupart des circonstances, je considérerais cela comme un sondage; cependant, un mod sur un autre site m'a donné l'idée d'un wiki communautaire pour ce genre de listes illimitées, mais objectivement vérifiables ... cette question semble correspondre. Nous pouvons ajouter une réponse pour répertorier tous les appareils. Si votre objectif n'est pas de répertorier tous les appareils vulnérables, veuillez clarifier votre intention
Mike Pennington
1
Nous avons également commencé une liste alternative ici: docs.google.com/spreadsheets/d/…
Josh Brower

Réponses:

13

Comme pour toute nouvelle vulnérabilité, ses impacts sont d'une grande portée. Les appareils d'infrastructure ne sont pas différents. La plupart d'entre eux intègrent des packages OpenSSL vulnérables.

Il est presque impossible de compiler une liste de tous les produits vulnérables 1 , car cela affecte tout ce qui inclut les bibliothèques OpenSSL construites avec l' implémentation de pulsation OpenSSL TLS d' origine jusqu'à ce que le patch heartbleed soit validé dans la branche stable d'OpenSSL ; cependant, nous pouvons répertorier ici les produits des principaux fournisseurs.


Il s'agit d'un wiki communautaire, n'hésitez pas à contribuer.


Aruba

  • ArubaOS 6.3.x, 6.4.x
  • ClearPass 6.1.x, 6.2.x, 6.3.x
  • Les versions précédentes de ces produits utilisaient une version antérieure d'OpenSSL qui n'est pas vulnérable .

Vulnérabilité de la bibliothèque OpenSSL 1.0.1 (Heartbleed).

Réseaux de points de contrôle

SK 100173 affirme que les produits Checkpoint ne sont pas vulnérables.

Cisco

Les produits Cisco suivants sont affectés par cette vulnérabilité:

  • Client de mobilité sécurisée Cisco AnyConnect pour iOS [CSCuo17488]
  • Expérience de collaboration de bureau Cisco DX650
  • Téléphones IP Cisco Unified 7800
  • Téléphone IP Cisco Unified 8961
  • Téléphone IP Cisco Unified 9951
  • Téléphone IP Cisco Unified 9971
  • Cisco IOS XE [CSCuo19730]
  • Cisco Unified Communications Manager (UCM) 10.0
  • Cisco Universal Small Cell 5000 Series exécutant le logiciel V3.4.2.x
  • Cisco Universal Small Cell 7000 Series exécutant le logiciel V3.4.2.x
  • Système de fichiers racine de récupération d'usine Small Cell V2.99.4 ou version ultérieure
  • Commutateur d'accès Ethernet Cisco MS200X
  • Moteur de service de mobilité Cisco (MSE)
  • Serveur de communication vidéo Cisco TelePresence (VCS) [CSCuo16472]
  • Cisco TelePresence Conductor
  • Cisco TelePresence Supervisor MSE 8050
  • Serveur Cisco TelePresence 8710, 7010
  • Serveur Cisco TelePresence sur supports multipartites 310, 320
  • Serveur Cisco TelePresence sur machine virtuelle
  • Passerelle RNIS TelePresence Cisco 8321 et 3201
  • Gamme de passerelles série Cisco TelePresence
  • Gamme de passerelles IP Cisco TelePresence
  • Versions 2.x de Cisco WebEx Meetings Server [CSCuo17528]
  • Gestionnaire de sécurité Cisco [CSCuo19265]

Avis de sécurité Cisco - Vulnérabilité d'extension OpenSSL Heartbeat dans plusieurs produits Cisco

D-Link

Au 15 avril 2014, D-Link n'avait aucun produit vulnérable.

Réponse aux incidents de sécurité pour les appareils et services D-Link

Fortifier

  • FortiGate (FortiOS) 5.x
  • FortiAuthenticator 3.x
  • FortiMail 5.x
  • FortiVoice
  • FortiRecorder
  • Modèles FortiADC série D 1500D, 2000D et 4000D
  • FortiADC E-Series 3.x
  • Égaliseur Coyote Point GX / LX 10.x

Vulnérabilité de divulgation d'informations dans OpenSSL

F5

Au 10 avril 2014, les produits / versions F5 suivants étaient connus pour être vulnérables

  • Versions BigIP LTM 11.5.0 - 11.5.1 (interface de gestion, chiffrements SSL compatibles)
  • Versions BigIP AAM 11.5.0 - 11.5.1 (interface de gestion, chiffrements SSL compatibles)
  • Versions BigIP AFM 11.5.0 - 11.5.1 (interface de gestion, chiffrements SSL compatibles)
  • Versions BigIP Analytics 11.5.0 - 11.5.1 (interface de gestion, chiffrements SSL compatibles)
  • Versions BigIP APM 11.5.0 - 11.5.1 (interface de gestion, chiffrements SSL compatibles)
  • Versions BigIP ASM 11.5.0 - 11.5.1 (interface de gestion, chiffrements SSL compatibles)
  • Versions BigIP GTM 11.5.0 - 11.5.1 (interface de gestion, chiffrements SSL compatibles)
  • Versions du contrôleur BigIP Link 11.5.0 - 11.5.1 (interface de gestion, chiffrements SSL compatibles)
  • Versions BigIP PEM 11.5.0 - 11.5.1 (interface de gestion, chiffrements SSL compatibles)
  • Versions BigIP PSM 11.5.0 - 11.5.1 (interface de gestion, chiffrements SSL compatibles)
  • Clients Edge BIG-IP pour Apple iOS versions 1.0.5, 2.0.0 - 2.0.1 (VPN)
  • Clients BIG-IP Edge pour les versions Linux 6035 - 7101 (VPN)
  • Clients BIG-IP Edge pour les versions Mac OSX 6035 - 7101 (VPN)
  • Clients BIG-IP Edge pour les versions Windows 6035 - 7101 (VPN)

Vulnérabilité OpenSSL SOL 15159 dans F5 Networks CVE-2014-0160

HP

Au 10 avril

"Nous avons déterminé que les produits que nous avons étudiés ne sont pas vulnérables en raison de l'utilisation d'une version d'OpenSSL qui n'est pas vulnérable ou qui n'utilisent pas OpenSSL."

Communication réseau HP: vulnérabilité OpenSSL HeartBleed

Huawei

Au 14 avril

L'enquête est terminée et il est confirmé que certains produits Huawei sont concernés. Huawei a préparé un plan de correction et a commencé le développement et le test de versions fixes. Huawei publiera une SA dès que possible. S'il vous plaît restez à l'écoute.

Avis de sécurité - Déclaration sur la vulnérabilité de l'extension Heartbeat d'OpenSSL

Genévrier

Produits vulnérables

  • Junos OS 13.3R1
  • Client Odyssey 5.6r5 et versions ultérieures
  • VPN SSL (IVEOS) 7.4r1 et versions ultérieures, et VPN SSL (IVEOS) 8.0r1 et versions ultérieures (le code fixe est répertorié dans la section "Solution")
  • UAC 4.4r1 et versions ultérieures, et UAC 5.0r1 et versions ultérieures (le code fixe est répertorié dans la section "Solution")
  • Junos Pulse (Desktop) 5.0r1 et versions ultérieures, et Junos Pulse (Desktop) 4.0r5 et versions ultérieures
  • Network Connect (Windows uniquement) versions 7.4R5 à 7.4R9.1 et 8.0R1 à 8.0R3.1. (Ce client n'est impacté que lorsqu'il est utilisé en mode FIPS.)
  • Junos Pulse (Mobile) sur Android version 4.2R1 et supérieure.
  • Junos Pulse (Mobile) sur iOS version 4.2R1 et supérieure. (Ce client n'est impacté que lorsqu'il est utilisé en mode FIPS.)

Juniper Knowledge Center - Bulletin de sécurité hors cycle 2014-04: plusieurs produits concernés par le problème "Heartbleed" d'OpenSSL (CVE-2014-0160)

Palo Alto Networks

PAN-OS n'a pas été touché par le cœur

Solutions de contournement

Désactivez les ressources qui utilisent SSL, si vous le pouvez, et comptez sur SSH qui, comme l'a commenté Mike Pennington, n'est pas vulnérable.

1 Cette liste a été prise le 10 avril 2014, les vendeurs peuvent toujours avoir leurs produits sous enquête. Cette liste n'est pas une directive de vulnérabilité, et ne sert qu'à donner à l'affiche originale une compréhension de l'étendue de l'impact sur l'équipement réseau.

Ryan Foley
source
3
Pour info, OpenSSH n'est pas vulnérable au cœur . Les chiffres alarmants concernant les saignements affectant 60% d'Internet sont également faux. Seules les bibliothèques OpenSSL construites au cours des deux dernières années sont vulnérables (en particulier, celles avec cette validation de pulsation TLS ). Ce nombre est bien inférieur à 60% d'Internet.
Mike Pennington
Modifié pour refléter ces informations. Merci pour l'information. J'ai supposé que les informations n'étaient que des appâts cliquables, je les supprimerai également.
Ryan Foley
Savez-vous par hasard quelle version de Cisco IOS XE est affectée?
@Phil si vous suivez le lien vers la page Cisco, il y aura une référence au bogue avec des informations détaillées.
radtrentasei
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.