Vigil@nce : OpenSSL, obtention du secret J-PAKE
décembre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsqu’un serveur utilise l’implémentation J-PAKE d’OpenSSL, un
attaquant distant peut obtenir le secret partagé.
– Gravité : 1/4
– Date création : 03/12/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le protocole J-PAKE (Password Authenticated Key Exchange by
Juggling) permet de créer une communication privée, à partir d’un
secret partagé. OpenSSL implémente une version expérimentale de
J-PAKE.
Cependant, cette implémentation ne vérifie pas si les paramètres
publics sont suffisamment complexes. Un attaquant peut alors
dériver la clé de session.
Lorsqu’un serveur utilise l’implémentation J-PAKE d’OpenSSL, un
attaquant distant peut donc obtenir le secret partagé.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/OpenSSL-obtention-du-secret-J-PAKE-10174