Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : OpenSSL, acceptation de CRL invalide

septembre 2011 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Dans certains cas, la fonctionnalité interne d’OpenSSL qui vérifie les certificats accepte des CRL invalides.

- Gravité : 2/4
- Date création : 06/09/2011

PRODUITS CONCERNÉS

- Fedora
- OpenSSL

DESCRIPTION DE LA VULNÉRABILITÉ

Une CRL (Certificate Revocation List) indique une liste de certificats invalides. Elle contient plusieurs dates :
- thisUpdate : date de publication de la CRL
- nextUpdate : date à laquelle une nouvelle CRL devrait avoir été publiée pour remplacer la CRL courante
Après la date nextUpdate, la CRL doit être considérée comme obsolète.

OpenSSL fournit une fonctionnalité interne de vérification de CRL, qui n’est pas activée par défaut. Elle est activée lorsque le code de l’application emploie X509_V_FLAG_CRL_CHECK ou X509_V_FLAG_CRL_CHECK_ALL. Apache httpd possède sa propre fonctionnalité de vérification de CRL, et n’utilise pas celle d’OpenSSL.

Dans certains cas, la fonctionnalité interne d’OpenSSL ne rejette pas les CRL dont la date nextUpdate est passée. Ces CRL sont donc toujours valides.

Un attaquant, qui peut forcer une application compilée avec OpenSSL à utiliser une ancienne CRL, peut donc empêcher la mise à jour des listes de certificats bloqués.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/O...




Voir les articles précédents

    

Voir les articles suivants