Éviter la vulnérabilité POODLE et POODLE BITES lorsque vous utilisez ASA et AnyConnect

Options de téléchargement

  • PDF     (84.9 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (87.2 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (74.2 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:2 avril 2015
ID du document:118780

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit ce que vous devez faire pour éviter la vulnérabilité Padding Oracle On Downgradated Legacy Encryption (POODLE) lorsque vous utilisez des appliances de sécurité adaptatives (ASA) et la connectivité AnyConnect for Secure Sockets Layer (SSL).

Informations générales

La vulnérabilité POODLE affecte certaines implémentations du protocole TLSv1 (Transport Layer Security version 1) et peut permettre à un attaquant distant non authentifié d'accéder à des informations sensibles.

La vulnérabilité est due à un remplissage de chiffrement de bloc incorrect implémenté dans TLSv1 lorsque vous utilisez le mode Chaînage de bloc de chiffrement (CBC). Un attaquant pourrait exploiter la vulnérabilité afin d'exécuter une attaque de canal latéral « oracle padding » sur le message cryptographique. Une exploitation réussie pourrait permettre à l'attaquant d'accéder à des informations sensibles.

Problème

L'ASA autorise les connexions SSL entrantes sous deux formes :

  1. WebVPN sans client
  2. Client AnyConnect

Cependant, aucune des implémentations TLS sur l'ASA ou le client AnyConnect n'est affectée par POODLE. Au lieu de cela, la mise en oeuvre de SSLv3 est affectée de sorte que tous les clients (navigateur ou AnyConnect) qui négocient SSLv3 soient susceptibles de cette vulnérabilité.

Attention : POODLE BITES affecte cependant le TLSv1 sur l'ASA. Pour plus d'informations sur les produits et correctifs concernés, reportez-vous à CVE-2014-8730.

Solution

Cisco a mis en oeuvre les solutions suivantes à ce problème :

  1. Toutes les versions d'AnyConnect qui supportaient précédemment SSLv3 (négocié) ont été déconseillées et les versions disponibles pour téléchargement (v3.1x et v4.0) ne négocieront pas SSLv3, de sorte qu'elles ne sont pas sensibles au problème.

  2. Le paramètre de protocole par défaut de l'ASA a été modifié de SSLv3 à TLSv1.0 de sorte que tant que la connexion entrante provient d'un client qui prend en charge TLS, c'est ce qui sera négocié.

  3. L'ASA peut être configuré manuellement pour accepter uniquement des protocoles SSL spécifiques avec cette commande :

    ssl server-version

    Comme mentionné dans la solution 1, aucun des clients AnyConnect actuellement pris en charge ne négocie plus SSLv3, de sorte que le client ne pourra pas se connecter à un ASA configuré avec l'une ou l'autre de ces commandes : 
    ssl server-version sslv3
    ssl server-version sslv3-only

    Cependant, pour les déploiements qui utilisent les versions v3.0.x et v3.1.x AnyConnect déconseillées (qui sont toutes des versions de build AnyConnect PRE 3.1.05182) et dans lesquelles la négociation SSLv3 est spécifiquement utilisée, la seule solution est d'éliminer l'utilisation de SSLv3 ou d'envisager une mise à niveau client.

  4. Le correctif réel pour POODLE BITES (ID de bogue Cisco CSCus08101) sera intégré dans les dernières versions provisoires uniquement. Vous pouvez effectuer une mise à niveau vers une version ASA qui a la solution pour résoudre le problème. La première version disponible sur Cisco Connection Online (CCO) est la version 9.3(2.2). 

    Les premières versions fixes du logiciel ASA pour cette vulnérabilité sont les suivantes :
    • 8.2 Train : 8.2.5.55
    • 8.4 Train : 8.4.7.26
    • 9.0 Train : 9.0.4.29
    • 9.1 Train : 9.1.6
    • 9.2 Train : 9.2.3.3
    • 9.3 Train : 9.3.2.2

TLSv1.2

  • L'ASA prend en charge TLSv1.2 depuis la version 9.3(2) du logiciel.
  • Les clients AnyConnect version 4.x prennent tous en charge TLSv1.2.

Cela signifie :

  • Si vous utilisez WebVPN sans client, tout ASA qui exécute cette version du logiciel ou une version supérieure peut négocier TLSv1.2.

  • Si vous utilisez le client AnyConnect, afin d'utiliser TLSv1.2, vous devrez effectuer une mise à niveau vers les clients Version 4.x.

Informations connexes

TAC Authored

Contribution d’experts de Cisco

  • Atri Basu
    Cisco TAC Engineer

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits