Vigil@nce - JUNOS : algorithmes SSL faibles de J-Web
janvier 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Le serveur SSL de JUNOS J-Web accepte des algorithmes utilisant
des clés de taille inférieure à 128 bits.
Gravité : 1/4
Date création : 13/01/2011
PRODUITS CONCERNÉS
– Juniper J Series
– Juniper JUNOS
DESCRIPTION DE LA VULNÉRABILITÉ
Lors de l’initialisation d’une session SSL, le client et le
serveur négocient les algorithmes de cryptographie à utiliser.
Certains anciens algorithmes utilisent des clés de taille faible
(RC4 40 bits, RC4 56 bits).
Le serveur JUNOS J-Web continue à accepter ces algorithmes
utilisant des clés de taille inférieure à 128 bits.
Un attaquant peut donc se positionner en Man-in-the-middle, pour
forcer la négociation d’un algorithme faible, afin de déchiffrer
la session SSL.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/JUNOS-algorithmes-SSL-faibles-de-J-Web-10272