Vigil@nce - Apache HttpClient : validation incomplète de certificat
décembre 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut placer un certificat valide sur un serveur
illicite, puis inviter un client Apache HttpClient à s’y
connecter, afin d’intercepter des communications malgré
l’utilisation du chiffrement.
Produits concernés : Apache HttpClient
Gravité : 2/4
Date création : 23/11/2012
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque HTTP HttpClient peut gérer des connexions HTTP sur
SSL.
Pour authentifier un serveur, le client doit non seulement valider
le certificat (signatures cryptographiques, dates de validité,
etc.), mais aussi que le certificat présenté corresponde bien au
serveur visité. Cette vérification se fait normalement par les
noms DNS, parfois par les adresses IP. Cependant, HttpClient ne
vérifie pas la compatibilité entre les noms présents dans le
certificat et celui demandé au niveau HTTP, ce qui fait que tout
certificat valide est accepté.
Un attaquant peut donc placer un certificat valide sur un serveur
illicite, puis inviter un client Apache HttpClient à s’y
connecter, afin d’intercepter des communications malgré
l’utilisation du chiffrement.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Apache-HttpClient-validation-incomplete-de-certificat-12182