Vigil@nce - OpenSSL : changement de ciphersuite
décembre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsqu’un serveur utilise OpenSSL, un attaquant distant peut
changer la ciphersuite, afin de forcer l’utilisation d’un
algorithme plus faible.
Gravité : 2/4
Date création : 03/12/2010
DESCRIPTION DE LA VULNÉRABILITÉ
La fonctionnalité de mise en cache des sessions SSL permet de
réutiliser des sessions précédemment ouvertes. Une application
l’active via la fonction SSL_CTX_set_session_cache_mode(). Par
exemple, Apache httpd ne l’active pas.
Le drapeau SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG autorise un
changement de ciphersuite, pour assurer une compatibilité avec les
anciens navigateurs web Netscape.
Cependant, lorsqu’un serveur emploie le cache des sessions et
SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG (ou SSL_OP_ALL), un client
illicite peut employer cette fonctionnalité pour choisir un
algorithme faible pour les sessions suivantes.
Lorsqu’un serveur utilise OpenSSL, un attaquant distant peut donc
changer la ciphersuite, afin de forcer l’utilisation d’un
algorithme plus faible.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/OpenSSL-changement-de-ciphersuite-10173