Vigil@nce - GnuTLS : variante de POODLE
février 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant, placé en Man-in-the-Middle, peut déchiffrer une
session SSL d’une application compilée avec GnuTLS, afin
d’obtenir des informations sensibles.
Produits concernés : Debian, Ubuntu, Unix (plateforme) non
exhaustif.
Gravité : 2/4.
Date création : 02/12/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque GnuTLS implémente le protocole SSL/TLS.
Cependant, GnuTLS ne vérifie pas le premier octet du padding en
mode CBC. Cette vulnérabilité est similaire à POODLE
(VIGILANCE-VUL-15485), mais est moins grave.
Un attaquant, placé en Man-in-the-Middle, peut donc déchiffrer
une session SSL d’une application compilée avec GnuTLS, afin
d’obtenir des informations sensibles.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/GnuTLS-variante-de-POODLE-18409