Table des matières
Introduction
Les utilisateurs de pfSense, la célèbre appliance de sécurité Open Source, se posent la question fort importante. Est-ce que mon pfSense est impacté par la faille du paquet OpenSSL dite du bug heart bleed (CVE-2014-0160) ? La réponse est multiple :
Version 2.03 :
Cette version de pfSense utilise une version d’OpenSSL non touché par la faille (0.9.8y). Ouf 🙂 ! Par contre, si vous utilisez le package Unbound, désactivez-le le temps de la mise à jour !
Version 2.1 et 2.1.1 :
Et oui, vous êtes vulnérables 🙁 !
OpenVPN
OpenVPN n’est exposé à cette faille que si il est utilisé en mode SSL/TLS sans clé d’authentification TLS. Si vous avez suivi le wizard, normalement vous êtes tranquille.
Les solutions palliatives
Modifications sur pfSense
- Ne pas ouvrir votre interface web à tout le net
- Si vous utilisez OpenVPN sans l’authentification TLS, vous devez modifier la configuration ou suspendre le service temporairement.
- D’autres paquets dépendent d’OpenSSL, mais en général le risque que la faille soit exploitée via ceci est faible. Mais s’ils ne sont pas critiques, le mieux est de les désactiver.
Snort
Des règles pour Snort viennent d’être publiées soit par l’équipe du projet, soit par de gentilles personnes.
Et le patch officiel ?
La version 2.1.2 qui corrige cette faille va sortir dans les prochaines heures. Suivez les commits sur github.
Quelques rappels utiles
Il ne faut jamais exposer l’interface de management à internet. Accédez-y via une machine local, ou via le VPN, ou encore via SSH. Changer le port par défaut de l’interface web, mettez un vrai mot de passe bien secure.
Si votre installation se révèle être vulnérable, suite à la mise à jour vous devez révoquer vos anciennes clés privées, en générer de nouvelles et créer de nouveaux certificats pour vos nouvelles clés.
Hello,
Je suis en version 2.1.1 de pfSense et quand je vais dans "Diagnostics" > "Command Prompt" et que je fais un "openssl version", il me retourne la version "0.9.8y". Donc à priori je ne suis pas touché. Pourquoi ai-je une 0.9.8y sur la dernière version de pfSense ?
Bonjour Fabien,
En fait si tu es aussi touché, car sur pfSense tu as 2 versions différentes de la lib installées :
/usr/bin/openssl – OpenSSL 0.9.8y
/usr/local/bin/openssl – OpenSSL 1.0.1e
Cette dernière étant utilisée pour https et l'OpenVPN notamment.
Mathias
en effet, merci pour cette réponse 🙂 pfSense updated 2.1.2 !
Il faut la noter la réactivité de l'équipe de pfSense pour nous délivrer un patch. Surtout quand on compare avec certaines solutions propriétaires. Je ne vais pas les citer, mais il suffit de lire la liste des failles ouvertes encore non patchées. Et je m'inquiète pour une partie des utilisateurs ayant achetés leur appliance de sécurité bien cher (le problème n'est pas là), mais qui ensuite ont voulu économiser sur le service : pas de mise à jour (oups !), pas de supervision proactive … en gros, en ce moment c'est open bar !