Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - OpenSSL : changement de ciphersuite

décembre 2010 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsqu’un serveur utilise OpenSSL, un attaquant distant peut changer la ciphersuite, afin de forcer l’utilisation d’un algorithme plus faible.

Gravité : 2/4

Date création : 03/12/2010

DESCRIPTION DE LA VULNÉRABILITÉ

La fonctionnalité de mise en cache des sessions SSL permet de réutiliser des sessions précédemment ouvertes. Une application l’active via la fonction SSL_CTX_set_session_cache_mode(). Par exemple, Apache httpd ne l’active pas.

Le drapeau SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG autorise un changement de ciphersuite, pour assurer une compatibilité avec les anciens navigateurs web Netscape.

Cependant, lorsqu’un serveur emploie le cache des sessions et SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG (ou SSL_OP_ALL), un client illicite peut employer cette fonctionnalité pour choisir un algorithme faible pour les sessions suivantes.

Lorsqu’un serveur utilise OpenSSL, un attaquant distant peut donc changer la ciphersuite, afin de forcer l’utilisation d’un algorithme plus faible.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/O...




Voir les articles précédents

    

Voir les articles suivants