pfSense est-il impacté par la faille du paquet OpenSSL dite du bug heart bleed ? La réponse est multiple
Introduction
Les utilisateurs de pfSense, la célèbre appliance de sécurité Open Source, se posent la question fort importante. Est-ce que mon pfSense est impacté par la faille du paquet OpenSSL dite du bug heart bleed (CVE-2014-0160) ? La réponse est multiple :
Version 2.03 :
Cette version de pfSense utilise une version d’OpenSSL non touché par la faille (0.9.8y). Ouf 🙂 ! Par contre, si vous utilisez le package Unbound, désactivez-le le temps de la mise à jour !
Version 2.1 et 2.1.1 :
Et oui, vous êtes vulnérables 🙁 !
OpenVPN
OpenVPN n’est exposé à cette faille que si il est utilisé en mode SSL/TLS sans clé d’authentification TLS. Si vous avez suivi le wizard, normalement vous êtes tranquille.
Les solutions palliatives
Modifications sur pfSense
- Ne pas ouvrir votre interface web à tout le net
- Si vous utilisez OpenVPN sans l’authentification TLS, vous devez modifier la configuration ou suspendre le service temporairement.
- D’autres paquets dépendent d’OpenSSL, mais en général le risque que la faille soit exploitée via ceci est faible. Mais s’ils ne sont pas critiques, le mieux est de les désactiver.
Snort
Des règles pour Snort viennent d’être publiées soit par l’équipe du projet, soit par de gentilles personnes.
Et le patch officiel ?
La version 2.1.2 qui corrige cette faille va sortir dans les prochaines heures. Suivez les commits sur github.
Quelques rappels utiles
Il ne faut jamais exposer l’interface de management à internet. Accédez-y via une machine local, ou via le VPN, ou encore via SSH. Changer le port par défaut de l’interface web, mettez un vrai mot de passe bien secure.
Si votre installation se révèle être vulnérable, suite à la mise à jour vous devez révoquer vos anciennes clés privées, en générer de nouvelles et créer de nouveaux certificats pour vos nouvelles clés.