Vigil@nce : OpenSSL, déni de service via SGC
mars 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer la fonctionnalité de redémarrage du
handshake SGC sans le message Client Hello, afin de mener un déni
de service.
– Gravité : 2/4
– Date création : 13/03/2012
PRODUITS CONCERNÉS
– IBM AIX
– OpenSSL
DESCRIPTION DE LA VULNÉRABILITÉ
La technologie SGC (Server Gated Cryptography) permet de gérer les
algorithmes/clés faibles. Elle est considérée comme obsolète.
Un attaquant peut employer la fonctionnalité de redémarrage du
handshake SGC sans le message Client Hello, afin de mener un déni
de service.
Cette vulnérabilité est due à une mauvaise correction de
CVE-2011-4619 (VIGILANCE-VUL-11257).
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/OpenSSL-deni-de-service-via-SGC-11428