Actu
Vigil@nce - ProFTPD : utilisation de DH 1024 bits par mod_tls
mai 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut potentiellement déchiffrer une session TLS de
ProFTPD, afin d’obtenir le contenu de fichier transférés.
Produits concernés : Fedora, ProFTPD.
Gravité : 2/4.
Date création : 11/03/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit ProFTPD utilise le module mod_tls pour établir des
sessions sécurisées par TLS.
L’administrateur peut employer le paramètre TLSDHParamFile pour
indiquer un fichier contenant un groupe Diffie Hellman de 4096
bits par exemple. Cependant, ProFTPD utilise toujours son groupe
de 1024 bits, qui est trop faible.
Un attaquant peut donc potentiellement déchiffrer une session TLS
de ProFTPD, afin d’obtenir le contenu de fichier transférés.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/ProFTPD-utilisation-de-DH-1024-bits-par-mod-tls-19159
