Vigil@nce - OpenSSL : obtention d’information en mode CBC, Lucky 13
février 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut injecter des messages chiffrés erronés dans une
session TLS/DTLS en mode CBC, et mesurer temps nécessaire à la
génération du message d’erreur, afin de progressivement déterminer
le contenu en clair de la session.
Produits concernés : Debian, OpenSSL, Slackware
Gravité : 1/4
Date création : 12/02/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le bulletin VIGILANCE-VUL-12374 (https://vigilance.fr/arbre/1/12374)
décrit une vulnérabilité de TLS/DTLS.
Pour OpenSSL, la solution VIGILANCE-SOL-28668
(https://vigilance.fr/arbre/2/28668) corrigeait cette
vulnérabilité. Cependant, cette solution était incomplète.
Un attaquant peut donc toujours injecter des messages chiffrés
erronés dans une session TLS/DTLS en mode CBC, et mesurer temps
nécessaire à la génération du message d’erreur, afin de
progressivement déterminer le contenu en clair de la session.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/OpenSSL-obtention-d-information-en-mode-CBC-Lucky-13-12394