Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant, placé en Man-in-the-Middle, peut déchiffrer une
session SSL d’une application compilée avec GnuTLS, afin
d’obtenir des informations sensibles.

Produits concernés : Debian, Ubuntu, Unix (plateforme) non
exhaustif.

Gravité : 2/4.

Date création : 02/12/2015.

DESCRIPTION DE LA VULNÉRABILITÉ

La bibliothèque GnuTLS implémente le protocole SSL/TLS.

Cependant, GnuTLS ne vérifie pas le premier octet du padding en
mode CBC. Cette vulnérabilité est similaire à POODLE
(VIGILANCE-VUL-15485), mais est moins grave.

Un attaquant, placé en Man-in-the-Middle, peut donc déchiffrer
une session SSL d’une application compilée avec GnuTLS, afin
d’obtenir des informations sensibles.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/GnuTLS-variante-de-POODLE-18409