Gravité : 1/4

Conséquences : lecture de données

Provenance : serveur internet

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 31/07/2009

PRODUITS CONCERNÉS

– Mozilla Firefox
– OpenSSL
– Red Hat Enterprise Linux
– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

L’algorithme de hachage MD2 est aujourd’hui considéré comme faible
(un attaquant disposant de ressources suffisantes peut créer une
collision).

Cependant, les certificats possédant une signature MD2 sont
toujours tolérés par certaines implémentations cryptographiques.
Un attaquant peut créer un faux certificat X.509 possédant une
signature MD2 apparemment valide pour ces logiciels.

Un attaquant peut donc inviter la victime à se connecter sur un
site SSL employant un certificat X.509 signé avec MD2, afin de
tromper la victime.

CARACTÉRISTIQUES

Références : 510197, CVE-2009-2409, RHSA-2009:1184-01,
RHSA-2009:1186-01, RHSA-2009:1190-01, VIGILANCE-VUL-8909
Pointé dans : VIGILANCE-ACTU-1847, VIGILANCE-VUL-8906

http://vigilance.fr/vulnerabilite/Firefox-GnuTLS-OpenSSL-NSPR-NSS-signature-avec-MD2-pour-X-509-8909