Actu
Vigil@nce : OpenSSL, obtention du secret J-PAKE
décembre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsqu’un serveur utilise l’implémentation J-PAKE d’OpenSSL, un attaquant distant peut obtenir le secret partagé.
Gravité : 1/4
Date création : 03/12/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le protocole J-PAKE (Password Authenticated Key Exchange by Juggling) permet de créer une communication privée, à partir d’un secret partagé. OpenSSL implémente une version expérimentale de J-PAKE.
Cependant, cette implémentation ne vérifie pas si les paramètres publics sont suffisamment complexes. Un attaquant peut alors dériver la clé de session.
Lorsqu’un serveur utilise l’implémentation J-PAKE d’OpenSSL, un attaquant distant peut donc obtenir le secret partagé.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
Tweeter
