Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - FreeRADIUS : validation de certificat X.509 incomplète pour TLS

juillet 2015 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut utiliser des certificats X.509 produits par une
AC compromise pour se faire accepter de FreeRADIUS.

Produits concernés : FreeRADIUS

Gravité : 1/4

Date création : 22/06/2015

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit FreeRADIUS peut utiliser des liste de révocation pour
vérifier les certificats X.509 des connexions TLS.

Cependant, la recherche du certificat dans les listes de
révocation se fait seulement pour le certificat feuille (du
serveur ou du client), et pas pour les certificats des AC
intermédiaires. Les certificats émis par une AC révoquée sont
donc reconnus valides. (Une AC entière peut être révoquée
suite à une intrusion dans laquelle la clé privée de
certification pourrait avoir été compromise.)

Un attaquant peut donc utiliser des certificats X.509 produits par
une AC compromise pour se faire accepter de FreeRADIUS.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/FreeRADIUS-validation-de-certificat-X-509-incomplete-pour-TLS-17190


Voir les articles précédents

    

Voir les articles suivants