Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

L’attaque Bleichenbacher peut être menée contre l’implémentation
OpenSSL de CMS et PKCS#7, afin d’obtenir des informations en
clair, à l’aide de 2^20 messages.

Gravité : 1/4

Date création : 12/03/2012

PRODUITS CONCERNÉS

– OpenSSL

DESCRIPTION DE LA VULNÉRABILITÉ

Le format PKCS#7 permet de représenter un document signé ou
chiffré. CMS (Cryptographic Message Syntax) est une amélioration
de PKCS#7. S/MIME utilisait PKCS#7, et utilise maintenant CMS.
TLS/SSL utilise ni PKCS#7 ni CMS.

En 1998, Daniel Bleichenbacher a proposé une attaque déterminant
si des données en clair font partie de données chiffrées utilisant
des blocs PKCS#1. Cette attaque est nommée "Million Message
Attack" car elle nécessite d’interroger de nombreuses fois un
oracle.

Cependant, l’attaque Bleichenbacher peut être menée contre
l’implémentation OpenSSL de CMS et PKCS#7, afin d’obtenir des
informations en clair, à l’aide de 2^20 messages.

Les détails techniques ne sont pas connus.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/OpenSSL-attaque-Bleichenbacher-sur-CMS-et-PKCS7-11427