Vigil@nce - Apache httpd mod_nss : élévation de privilèges via Disabled Ciphers
mars 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut utiliser un algorithme obsolète avec Apache
httpd mod_nss, afin de mener un Man-in-the-Middle.
Produits concernés : Apache httpd Modules non exhaustif, Fedora.
Gravité : 2/4.
Date création : 11/01/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le module mod_nss peut être installé sur Apache httpd.
La directive NSSCipherSuite indique les algorithmes. Par exemple :
NSSCipherSuite !eNULL : !aNULL:AESGCM+aRSA:ECDH+aRSA
Cependant, l’opérateur négation (!) est ignoré.
Un attaquant peut donc utiliser un algorithme obsolète avec
Apache httpd mod_nss, afin de mener un Man-in-the-Middle.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET