Vigil@nce - OpenSSL : attaque Bleichenbacher sur CMS et PKCS7
mars 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
L’attaque Bleichenbacher peut être menée contre l’implémentation
OpenSSL de CMS et PKCS#7, afin d’obtenir des informations en
clair, à l’aide de 2^20 messages.
Gravité : 1/4
Date création : 12/03/2012
PRODUITS CONCERNÉS
– OpenSSL
DESCRIPTION DE LA VULNÉRABILITÉ
Le format PKCS#7 permet de représenter un document signé ou
chiffré. CMS (Cryptographic Message Syntax) est une amélioration
de PKCS#7. S/MIME utilisait PKCS#7, et utilise maintenant CMS.
TLS/SSL utilise ni PKCS#7 ni CMS.
En 1998, Daniel Bleichenbacher a proposé une attaque déterminant
si des données en clair font partie de données chiffrées utilisant
des blocs PKCS#1. Cette attaque est nommée "Million Message
Attack" car elle nécessite d’interroger de nombreuses fois un
oracle.
Cependant, l’attaque Bleichenbacher peut être menée contre
l’implémentation OpenSSL de CMS et PKCS#7, afin d’obtenir des
informations en clair, à l’aide de 2^20 messages.
Les détails techniques ne sont pas connus.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/OpenSSL-attaque-Bleichenbacher-sur-CMS-et-PKCS7-11427