120 Membres 1177 Contributions

Open Community

Retour sur le bulletin de sécurité CERTA-2012-AVI-001

Publiée par Laurent C. - Arkoon dans technique

Le CERTA (organisme dépendant de l'ANSSI http://www.certa.ssi.gouv.fr) a publié le 04 janvier 2012 le bulletin de sécurité CERTA-2012-AVI-001 relatif à notre produit firewall FAST360 : http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-001/index.html.

Le CERTA est chargé d'assurer la veille sécurité pour différents produits de sécurité (équipements réseaux, systèmes, logiciels...), d'étudier l'impact de vulnérabilités et de publier des bulletins en conséquence. La publication de ce bulletin fait suite à la sortie de la version FAST360 5.0/23 dans laquelle une correction relative à la sécurité du composant PKI, a été intégrée.

Comme l'indique la Release Notes de la version 5.0/23 (disponible sur le site Clients / Partenaires http://client.arkoon.net), cette correction de sécurité est la suivante :

"Dans  une  configuration  AMC,  une  CRL  émise  par  une  PKI  interne  pouvait  ne  pas  être  prise  en
compte lors de l’établissement de tunnels VPN. Ces derniers pouvaient donc accepter un certificat
X509 révoqué.  
Néanmoins, pour les connexions administratives, la CRL était correctement prise en compte."

Au sein de l'équipe R&D FAST360, nous avons un processus continu de suivi des vulnérabilités internes et externes détectées dans le produit. Il impose une cotation de celles-ci afin de décider de leur impact, gravité, urgence de correction et de la décision de publier ou non un bulletin de sécurité relatif à leur correction.

Suivant ce processus, cette vulnérabilité est considérée comme mineure, détectée en interne, complexe à mettre en oeuvre, et par consequent elle n'a pas fait l'objet de la publication d'un bulletin spécifique de notre part.

 

Pour publier un commentaire, merci de vous authentifier.

Messages d'alerte