Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : OpenSSL, acceptation de CRL invalide

septembre 2011 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Dans certains cas, la fonctionnalité interne d’OpenSSL qui vérifie
les certificats accepte des CRL invalides.

 Gravité : 2/4
 Date création : 06/09/2011

PRODUITS CONCERNÉS

 Fedora
 OpenSSL

DESCRIPTION DE LA VULNÉRABILITÉ

Une CRL (Certificate Revocation List) indique une liste de
certificats invalides. Elle contient plusieurs dates :
 thisUpdate : date de publication de la CRL
 nextUpdate : date à laquelle une nouvelle CRL devrait avoir été
publiée pour remplacer la CRL courante
Après la date nextUpdate, la CRL doit être considérée comme
obsolète.

OpenSSL fournit une fonctionnalité interne de vérification de CRL,
qui n’est pas activée par défaut. Elle est activée lorsque le code
de l’application emploie X509_V_FLAG_CRL_CHECK ou
X509_V_FLAG_CRL_CHECK_ALL. Apache httpd possède sa propre
fonctionnalité de vérification de CRL, et n’utilise pas celle
d’OpenSSL.

Dans certains cas, la fonctionnalité interne d’OpenSSL ne rejette
pas les CRL dont la date nextUpdate est passée. Ces CRL sont donc
toujours valides.

Un attaquant, qui peut forcer une application compilée avec
OpenSSL à utiliser une ancienne CRL, peut donc empêcher la mise à
jour des listes de certificats bloqués.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/OpenSSL-acceptation-de-CRL-invalide-10970


Voir les articles précédents

    

Voir les articles suivants