Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : OpenSSL, déni de service via ECDH

septembre 2011 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsqu’une application emploie une Cyphersuite Ephemeral ECDH, un attaquant distant peut envoyer des messages désordonnés, afin de la stopper.

- Gravité : 2/4
- Date création : 06/09/2011

PRODUITS CONCERNÉS

- OpenSSL

DESCRIPTION DE LA VULNÉRABILITÉ

L’algorithme ECDH (Elliptic Curve Diffie Hellman) permet de créer un secret partagé, en utilisant la cryptographie elliptique.

Les applications supportent Ephemeral ECDH si leur code source appelle les fonctions suivantes d’OpenSSL :
SSL_CTX_set_tmp_ecdh
SSL_set_tmp_ecdh
SSL_CTRL_SET_TMP_ECDH
SSL_CTX_set_tmp_ecdh_callback
SSL_set_tmp_ecdh_callback
SSL_CTRL_SET_TMP_ECDH_CB
Apache httpd n’utilise pas Ephemeral ECDH.

Lorsqu’une application emploie une Cyphersuite Ephemeral ECDH, un attaquant distant peut envoyer des messages HandShake désordonnés, afin de la stopper.

Les détails techniques ne sont pas connus.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/O...




Voir les articles précédents

    

Voir les articles suivants