Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut injecter des messages chiffrés erronés dans une
session TLS/DTLS en mode CBC, et mesurer temps nécessaire à la
génération du message d’erreur, afin de progressivement déterminer
le contenu en clair de la session.

Produits concernés : Debian, OpenSSL, Slackware

Gravité : 1/4

Date création : 12/02/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Le bulletin VIGILANCE-VUL-12374 (https://vigilance.fr/arbre/1/12374)
décrit une vulnérabilité de TLS/DTLS.

Pour OpenSSL, la solution VIGILANCE-SOL-28668
(https://vigilance.fr/arbre/2/28668) corrigeait cette
vulnérabilité. Cependant, cette solution était incomplète.

Un attaquant peut donc toujours injecter des messages chiffrés
erronés dans une session TLS/DTLS en mode CBC, et mesurer temps
nécessaire à la génération du message d’erreur, afin de
progressivement déterminer le contenu en clair de la session.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/OpenSSL-obtention-d-information-en-mode-CBC-Lucky-13-12394