Vigil@nce : GnuTLS, vérification incorrecte de la chaîne de certification
novembre 2008 par Vigil@nce
SYNTHÈSE
Un attaquant peut employer une chaîne de certification invalide
qui n’est pas rejetée par GnuTLS, afin de mener une attaque
man-in-the-middle.
Gravité : 2/4
Conséquences : lecture de données, transit de données
Provenance : serveur internet
Moyen d’attaque : 1 attaque
Compétence de l’attaquant : technicien (2/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 12/11/2008
PRODUITS CONCERNÉS
– Fedora
– Mandriva Linux
– Red Hat Enterprise Linux
– Slackware Linux
– Unix - plateforme
DESCRIPTION
La bibliothèque GnuTLS peut être utilisée pour implémenter des
clients/serveurs TLS/SSL.
Un client/serveur TLS dispose par exemple d’un certificat X.509,
certifié par une autorité de certification intermédiaire,
elle-même certifiée par une autorité de certification racine.
GnuTLS doit parcourir cette chaîne de certification pour s’assurer
que le certificat client/serveur est de confiance.
Cependant, si le certificat de l’autorité de certification
intermédiaire est auto-signé, GnuTLS accepte la chaîne de
certification.
Un attaquant peut par exemple mettre en place un serveur web
illicite présentant une telle chaîne de certification, afin de
tromper les clients web liés à GnuTLS.
CARACTÉRISTIQUES
Références : BID-32232, CVE-2008-4989, FEDORA-2008-9530,
FEDORA-2008-9600, GNUTLS-SA-2008-3, MDVSA-2008:227,
RHSA-2008:0982-01, SSA:2008-315-01, VIGILANCE-VUL-8235
Pointé dans : VIGILANCE-VUL-8249