pfSense : Faille OpenSSL heartbeat ( Heart Bleed bug ) – CVE-2014-0160

pfSense est-il impacté par la faille du paquet OpenSSL dite du bug heart bleed ? La réponse est multiple

pfsense heart bleed

Introduction

Les utilisateurs de pfSense, la célèbre appliance de sécurité Open Source, se posent la question fort importante. Est-ce que mon pfSense est impacté par la faille du paquet OpenSSL dite du bug heart bleed (CVE-2014-0160) ? La réponse est multiple :

Version 2.03 :

Cette version de pfSense utilise une version d’OpenSSL non touché par la faille (0.9.8y). Ouf 🙂 ! Par contre, si vous utilisez le package Unbound, désactivez-le le temps de la mise à jour !

Version 2.1 et 2.1.1 :

Et oui, vous êtes vulnérables 🙁 !

OpenVPN

OpenVPN n’est exposé à cette faille que si il est utilisé en mode SSL/TLS sans clé d’authentification TLS. Si vous avez suivi le wizard, normalement vous êtes tranquille.

Les solutions palliatives

Modifications sur pfSense

  1. Ne pas ouvrir votre interface web à tout le net
  2. Si vous utilisez OpenVPN sans l’authentification TLS, vous devez modifier la configuration ou suspendre le service temporairement.
  3. D’autres paquets dépendent d’OpenSSL, mais en général le risque que la faille soit exploitée via ceci est faible. Mais s’ils ne sont pas critiques, le mieux est de les désactiver.

Snort

Des règles pour Snort viennent d’être publiées soit par l’équipe du projet, soit par de gentilles personnes.

Et le patch officiel ?

La version 2.1.2 qui corrige cette faille va sortir dans les prochaines heures. Suivez les commits sur github.

Quelques rappels utiles

Il ne faut jamais exposer l’interface de management à internet. Accédez-y via une machine local, ou via le VPN, ou encore via SSH. Changer le port par défaut de l’interface web, mettez un vrai mot de passe bien secure.

Si votre installation se révèle être vulnérable, suite à la mise à jour vous devez révoquer vos anciennes clés privées, en générer de nouvelles et créer de nouveaux certificats pour vos nouvelles clés.

Auteur : Mathias

Qui suis-je ? Je travaille dans les télécoms et réseaux depuis 1996 (oui, le siècle dernier). Je suis ingénieur en génie électrique et informatique industrielle réseaux et télécoms. Je suis passionné de technologies et je participe à plusieurs projets touchant les télécoms (asterisk et freeswitch notament) et la sécurité informatique (PfSense). J’interviens en tant que freelance afin d'accompagner les entreprises et opérateurs en leur apportant mon expérience et mon expertise.

5 réflexions sur « pfSense : Faille OpenSSL heartbeat ( Heart Bleed bug ) – CVE-2014-0160 »

  1. Hello,

    Je suis en version 2.1.1 de pfSense et quand je vais dans "Diagnostics" > "Command Prompt" et que je fais un "openssl version", il me retourne la version "0.9.8y". Donc à priori je ne suis pas touché. Pourquoi ai-je une 0.9.8y sur la dernière version de pfSense ?

    1. Bonjour Fabien,
      En fait si tu es aussi touché, car sur pfSense tu as 2 versions différentes de la lib installées :
      /usr/bin/openssl – OpenSSL 0.9.8y
      /usr/local/bin/openssl – OpenSSL 1.0.1e
      Cette dernière étant utilisée pour https et l'OpenVPN notamment.

      Mathias

        1. Il faut la noter la réactivité de l'équipe de pfSense pour nous délivrer un patch. Surtout quand on compare avec certaines solutions propriétaires. Je ne vais pas les citer, mais il suffit de lire la liste des failles ouvertes encore non patchées. Et je m'inquiète pour une partie des utilisateurs ayant achetés leur appliance de sécurité bien cher (le problème n'est pas là), mais qui ensuite ont voulu économiser sur le service : pas de mise à jour (oups !), pas de supervision proactive … en gros, en ce moment c'est open bar !

Laisser un commentaire