Vigil@nce : Blue Coat ProxySG, liste obsolète d’autorités de certification
mars 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
L’appliance Blue Coat ProxySG accepte des certificats signés par
des autorités de certification qui ne sont pas considérées comme
étant de confiance.
– Gravité : 2/4
– Date création : 16/02/2012
PRODUITS CONCERNÉS
– Blue Coat ProxySG
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Blue Coat ProxySG possède une liste de certificats
racine, émis par des autorités de certification de confiance.
Avant ProxySG 6.3, cette liste n’était mise à jour que lors de
upgrade de SGOS. Depuis ProxySG 6.3, cette liste est mise à jour
tous les 7 jours.
Sur de nombreuses installations, cette liste est donc obsolète, et
contient des autorités qui ne sont plus considérées comme étant de
confiance. Un attaquant disposant d’un certificat signé par l’une
de ces autorités peut alors continuer à proposer un service web,
qui n’est pas détecté comme étant illicite par ProxySG.
L’appliance Blue Coat ProxySG accepte donc des certificats signés
par des autorités de certification qui ne sont pas considérées
comme étant de confiance.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET