Vigil@nce - libcurl : non vérification de certificat sans VERIFYPEER
décembre 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut présenter un certificat illicite, à une
application liée à libcurl, qui désactive VERIFYPEER, afin que
l’utilisateur ne soit pas prévenu.
Produits concernés : cURL, Debian, Fedora, MBS, MES
Gravité : 2/4
Date création : 18/11/2013
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque libcurl utilise deux options pour vérifier les
certificats SSL :
– CURLOPT_SSL_VERIFYPEER : vérification de la chaîne complète
– CURLOPT_SSL_VERIFYHOST : vérification uniquement du nom du
serveur
Cependant, suite à une erreur de logique avec OpenSSL, lorsque
CURLOPT_SSL_VERIFYPEER est désactivé, CURLOPT_SSL_VERIFYHOST est
aussi désactivé.
Un attaquant peut donc présenter un certificat illicite, à une
application liée à libcurl, qui désactive VERIFYPEER, afin que
l’utilisateur ne soit pas prévenu.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/libcurl-non-verification-de-certificat-sans-VERIFYPEER-13787