Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Mozilla NSS : désactivation de la Forward Secrecy de ECDHE_ECDSA

septembre 2015 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut se positionner en Man-in-the-Middle sur un
échange ECDHE_ECDSA avec un client Mozilla NSS, afin de
désactiver la Forward Secrecy, ce qui peut faciliter le
déchiffrement de la session.

Produits concernés : Debian, NSS, RHEL.

Gravité : 1/4.

Date création : 18/08/2015.

DESCRIPTION DE LA VULNÉRABILITÉ

Le protocole TLS utilise une succession de messages, que le client
et le serveur doivent échanger, avant d’établir une session
sécurisée.

Lors d’un échange ECDHE_ECDSA, si le serveur n’envoie pas de
message ServerKeyExchange, le client TLS doit interrompre le
handshake. Cependant, NSS l’accepte, et il utilise la clé EC à
partir du certificat ECDSA, ce qui empêche la Forward Secrecy.

Cette vulnérabilité est une variante de VIGILANCE-VUL-16300.

Un attaquant peut donc se positionner en Man-in-the-Middle sur un
échange ECDHE_ECDSA avec un client Mozilla NSS, afin de
désactiver la Forward Secrecy, ce qui peut faciliter le
déchiffrement de la session.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Mozilla-NSS-desactivation-de-la-Forward-Secrecy-de-ECDHE-ECDSA-17695


Voir les articles précédents

    

Voir les articles suivants