Réseau : les matériels Cisco et Juniper touchés par la faille Heartbleed

La faille Heartbleed, qui touche le protocole de cryptage Web OpenSSL, ne se limite pas aux serveurs. Elle affecte également de nombreux équipements réseau de Cisco et Juniper.

La faille Heartbleed, qui affecte le protocole OpenSSL, touche également certains produits de Cisco et de Juniper, ont confirmé les deux fournisseurs. Dans des bulletins de sécurité, les deux entreprises américaines expliquent que la faille affecte aussi des routeurs, des switch et des pare-feu.

Le problème touche « de nombreux produits Cisco intégrant une version d’un package OpenSSL », précise Cisco sur son site. Le constructeur publie un bulletin de sécurité répertoriant à ce jour une vingtaine de produits pour lesquels la vulnérabilité est d’ores et déjà confirmée. Celle-ci est liée à l’implémentation de l’extension Heartbeat. Cisco travaille à des mises à jour logicielles et propose, dans l’intervalle, un outil permettant de détecter une attaque. Le constructeur explique qu’un exploit développé pour cette vulnérabilité permettrait à un assaillant de détourner une partie des informations stockées en mémoire, dont – potentiellement – de récupérer des informations sensibles comme des clefs de cryptage ou des mots de passe.

La liste des victimes va s’allonger

Même constat chez Juniper qui publie deux bulletins d’alerte (ici et ici). Là encore de multiples produits sont affectés par l’implémentation défectueuse de l’extension Heartbeat. La liste des produits touchés comprend les matériels fonctionnant sous l’OS maison Junos 13.3R1, ainsi que les outils de VPN.

L’évaluation des conséquences de ce séisme n’est pas encore achevée. Cisco, par exemple, a confirmé qu’une vingtaine de ses produits étaient concernés, mais publie également une liste d’une soixantaine de solutions suspectes. De même, Juniper poursuit ses analyses d’impact sur d’autres produits. La liste des victimes est donc susceptible de s’allonger. Y compris à d’autres constructeurs.


Voir aussi
Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes