Vigil@nce - IBM GSKit : déni de service via CBC/AEAD
octobre 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut injecter un paquet illicite dans une session
TLS, afin de stopper les applications liées à IBM GSKit.
– Produits concernés : Tivoli Directory Server, WebSphere AS
– Gravité : 2/4
– Date création : 08/10/2012
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit IBM Global Security Kit implémente SSL/TLS pour
plusieurs produits IBM.
Cependant, un message TLS utilisant les algorithmes CBC ou AEAD
(Authenticated Encryption with Associated Data) provoque une
erreur dans GSKit. Les détails techniques ne sont pas connus.
Un attaquant peut donc injecter un paquet illicite dans une
session TLS, afin de stopper les applications liées à IBM GSKit.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/IBM-GSKit-deni-de-service-via-CBC-AEAD-12037