Le blog francophone consacré
aux technologies Esri

Correctif de sécurité relatif à OpenSSL (Heartbleed)

      


La semaine dernière, une alerte de sécurité a été émise au sujet d'une vulnérabilité d'OpenSSL (CVE-2014-0160 appelé également Heartbleed). Dès cette annonce, Esri a analysé les répercutions potentielles en terme de sécurité dans les solutions ArcGIS contenant et exploitant activement ce composant. Il s'avère que cette vulnérabilité ne concerne au final qu'ArcGIS for Server 10.2 (et supérieur) et sur l'environnement Linux uniquement. La faille potentielle permettrai l'accès à la mémoire des services d'impression et des services de publication et par conséquent aux chemins d'accès des fichiers, aux noms des machines et au nom du compte executant les processus d'ArcGIS for Server. En aucun cas cette faille d'OpenSLL ne permet d'obtenir des clés privées ou des mots de passe du serveur. La description de ce problème et l'impact potentiel sur les solutions ArcGIS est détaillé dans cet article du Support Center Esri.

Comme de nombreux autres éditeurs de solutions logicielles, Esri a mis en ligne un patch permettant de corriger cette potentielle vulnérabilité. Ce patch s'applique à ArcGIS for Server 10.2, 10.2.1 et 10.2.2 pour Linux. Esri recommande son installation dès que possible à partir des médias que vous pourrez télécharger sur cette page.

Partager cet article:

Rejoindre la discussion

    Les commentaires à propos de cet article:

2 comments :

Vincent a dit…

D'après ce lien :
http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge

Les clefs SSL du serveur peuvent bien être récupérées sur les serveurs vulnérables.

Pouvez vous expliciter l'assertion : "En aucun cas cette faille d'OpenSLL ne permet d'obtenir des clés privées ou des mots de passe du serveur. " ?

D'après CloudFlare, il est donc nécessaire de révoquer les clefs, et changer les mots de passe de tous les serveurs qui ont pu être vulnérables à un moment donné.

Cordialement

Gaëtan Lavenu a dit…

Bonjour,

Je ne suis pas un spécialiste du sujet mais je me réfère aux informations communiquées par mes collègues d'Esri Inc. Je pense que la vulnérabilité dépend de la manière dont la solution exploite SSL. D'après cet article du site du support d'Esri (http://support.esri.com/en/downloads/patches-servicepacks/view/productid/66/metaid/2088) "It cannot be used to reveal private keys". Plus de détails sur la manière dont ce problème peut affecter ArcGIS for Server vous pouvez accéder à cet article http://support.esri.com/en/knowledgebase/techarticles/detail/42407. Si vous souhaitez approfondir encore, vous pouvez contacter le support technique d'Esri France.