Vigil@nce : Solaris, déni de service de PKCS11
décembre 2008 par Vigil@nce
SYNTHÈSE
Un attaquant peut provoquer un déni de service dans
l’implémentation PKCS#11 de Solaris.
Gravité : 2/4
Conséquences : déni de service du service
Provenance : shell utilisateur
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 08/12/2008
PRODUITS CONCERNÉS
– Sun Solaris
DESCRIPTION
Le standard PKCS#11 définit l’interface des périphériques
cryptographiques. Solaris utilise une sur-couche d’OpenSSL pour
fournir PKCS#11.
Un attaquant peut corrompre le cache de session de cette
sur-couche. Certaines fonctions, comme RSA_sign() et RSA_verify(),
ne peuvent alors plus fonctionner.
Un attaquant peut alors mener un déni de service dans les
applications utilisant PKCS#11, comme Apache avec la directive
SSLCryptoDevice.
Cette vulnérabilité ne concerne pas OpenSSL.
CARACTÉRISTIQUES
Références : 246846, 6602801, BID-32671, CVE-2008-5410,
VIGILANCE-VUL-8289