Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut injecter un paquet illicite dans une session
TLS, afin de stopper les applications liées à IBM GSKit.

– Produits concernés : Tivoli Directory Server, WebSphere AS
– Gravité : 2/4
– Date création : 08/10/2012

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit IBM Global Security Kit implémente SSL/TLS pour
plusieurs produits IBM.

Cependant, un message TLS utilisant les algorithmes CBC ou AEAD
(Authenticated Encryption with Associated Data) provoque une
erreur dans GSKit. Les détails techniques ne sont pas connus.

Un attaquant peut donc injecter un paquet illicite dans une
session TLS, afin de stopper les applications liées à IBM GSKit.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/IBM-GSKit-deni-de-service-via-CBC-AEAD-12037