Vigil@nce : Firefox, GnuTLS, OpenSSL, NSPR, NSS, signature avec MD2 pour X.509
août 2009 par Vigil@nce
Un attaquant peut inviter la victime à se connecter sur un site
SSL employant un certificat X.509 signé avec MD2, afin de tromper
la victime.
Gravité : 1/4
Conséquences : lecture de données
Provenance : serveur internet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 31/07/2009
PRODUITS CONCERNÉS
– Mozilla Firefox
– OpenSSL
– Red Hat Enterprise Linux
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
L’algorithme de hachage MD2 est aujourd’hui considéré comme faible
(un attaquant disposant de ressources suffisantes peut créer une
collision).
Cependant, les certificats possédant une signature MD2 sont
toujours tolérés par certaines implémentations cryptographiques.
Un attaquant peut créer un faux certificat X.509 possédant une
signature MD2 apparemment valide pour ces logiciels.
Un attaquant peut donc inviter la victime à se connecter sur un
site SSL employant un certificat X.509 signé avec MD2, afin de
tromper la victime.
CARACTÉRISTIQUES
Références : 510197, CVE-2009-2409, RHSA-2009:1184-01,
RHSA-2009:1186-01, RHSA-2009:1190-01, VIGILANCE-VUL-8909
Pointé dans : VIGILANCE-ACTU-1847, VIGILANCE-VUL-8906
http://vigilance.fr/vulnerabilite/Firefox-GnuTLS-OpenSSL-NSPR-NSS-signature-avec-MD2-pour-X-509-8909