Vigil@nce - stunnel : vulnérabilité de SSL Session Reuse
avril 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut se positionner en Man-in-the-Middle avec
stunnel, afin d’obtenir des informations sensibles.
– Produits concernés : stunnel
– Gravité : 2/4
– Date création : 25/03/2015
DESCRIPTION DE LA VULNÉRABILITÉ
La fonctionnalité Session Reuse du protocole SSL/TLS permet de
redémarrer rapidement une nouvelle session.
L’option "redirect" de stunnel redirige les clients. Cependant,
stunnel ne redirige pas le client lorsque un Session Reuse a été
employé.
Un attaquant peut donc se positionner en Man-in-the-Middle avec
stunnel, afin d’obtenir des informations sensibles.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/stunnel-vulnerabilite-de-SSL-Session-Reuse-16463