pfSense : sortie de la version 2.1.2

Hier soir, tard dans la soirée, l’équipe de pfSense a sortie la version 2.1.2 qui corrige notamment le maintenant célèbre bug heart bleed d’OpenSSL (CVE-2014-0160).

Il faut noter la rapidité de l’équipe de pfSense à vous délivrer un correctif de qualité à comparer avec d’autres solutions propriétaires où nous sommes toujours dans l’attente d’une moindre communication (mais cela arrange peut-être certaines personnes).

En tout cas, un grand bravo à toute l’équipe de pfSense, car il ne s’agissait pas de refaire une simple mise à jour de dépendance comme on pourrait naïvement le croire.

Pour les soutenir, je vous invite à faire un tour sur leur store afin d’acheter un goodie ou même un firewall propulsé par pfSense pour votre maison prêt à l’emploi (je vous conseille VK-T40E2, testé et validé par bibi).

pfSense : Faille OpenSSL heartbeat ( Heart Bleed bug ) – CVE-2014-0160

pfSense est-il impacté par la faille du paquet OpenSSL dite du bug heart bleed ? La réponse est multiple

Introduction

Les utilisateurs de pfSense, la célèbre appliance de sécurité Open Source, se posent la question fort importante. Est-ce que mon pfSense est impacté par la faille du paquet OpenSSL dite du bug heart bleed (CVE-2014-0160) ? La réponse est multiple :

Version 2.03 :

Cette version de pfSense utilise une version d’OpenSSL non touché par la faille (0.9.8y). Ouf 🙂 ! Par contre, si vous utilisez le package Unbound, désactivez-le le temps de la mise à jour !

Version 2.1 et 2.1.1 :

Et oui, vous êtes vulnérables 🙁 !

OpenVPN

OpenVPN n’est exposé à cette faille que si il est utilisé en mode SSL/TLS sans clé d’authentification TLS. Si vous avez suivi le wizard, normalement vous êtes tranquille.

Les solutions palliatives

Modifications sur pfSense

  1. Ne pas ouvrir votre interface web à tout le net
  2. Si vous utilisez OpenVPN sans l’authentification TLS, vous devez modifier la configuration ou suspendre le service temporairement.
  3. D’autres paquets dépendent d’OpenSSL, mais en général le risque que la faille soit exploitée via ceci est faible. Mais s’ils ne sont pas critiques, le mieux est de les désactiver.

Snort

Des règles pour Snort viennent d’être publiées soit par l’équipe du projet, soit par de gentilles personnes.

Et le patch officiel ?

La version 2.1.2 qui corrige cette faille va sortir dans les prochaines heures. Suivez les commits sur github.

Quelques rappels utiles

Il ne faut jamais exposer l’interface de management à internet. Accédez-y via une machine local, ou via le VPN, ou encore via SSH. Changer le port par défaut de l’interface web, mettez un vrai mot de passe bien secure.

Si votre installation se révèle être vulnérable, suite à la mise à jour vous devez révoquer vos anciennes clés privées, en générer de nouvelles et créer de nouveaux certificats pour vos nouvelles clés.

Faille OpenSSL heartbeat : explication en vidéo ( Heart Bleed bug ) – CVE-2014-0160

Vidéo très bien faite expliquant la faille OpenSSL dite le Heartbleed bug. CVE-2014-0160

[ Alert openssl ] : faille de sécurité – CVE-2014-0160

Faille de sécurité OpenSSL

Une nouvelle de faille de sécurité a été découverte dans le paquet OpenSSL. Les versions impactées sont les suivantes :

  • 1.0.1
  • 1.0.2-beta
  • 1.0.1f
  • 1.0.2-beta1

Afin de corriger cette faille , une correction est disponible. Les versions 1.0.2 et 1.0.2-beta2 corrigent la faille.

Pour informations, les distributions ubuntu LTS (et non LTS) sont soit non affectées soit disposent d’un correctifs. Pour la 12.0.4LTS, c’est la version 1..0.1-4ubuntu5.12 et pour la 14.04LTS, c’est la version 1.0.1f-ubuntu2.

En ce qui concerne Debian, Squeeze n’est pas concernée par cette vulnérabilité. Par contre, pour Wheezy, la vulnérabilité a été corrigée dans la version 1.0.1e-2+deb7u5, pour Jessie, dans la version 1.0.1g-1 et enfin pour Sid, dans la version 1.0.1g-1.

Cette vulnérabilité impacte la prise en charge par OpenSSL de l’extension TLS/DTLS Heartbeat et peut permettre à un attaquant de compromettre les clefs privées et d’autres données sensibles en mémoire.