Vigil@nce - Perl IO-Socket-SSL : non vérification du certificat
décembre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsqu’une application emploie le module Perl IO::Socket::SSL,
l’option SSL_verify_mode n’est pas honorée, donc le certificat
distant n’est pas vérifié.
Gravité : 2/4
Date création : 06/12/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le module Perl IO::Socket::SSL permet de créer des sessions SSL.
L’option SSL_verify_mode indique comment vérifier le certificat
distant :
– 0x0 : aucune vérification
– 0x1 : vérification
– 0x2 : oblige la présence d’un certificat client
– etc.
Cependant, cette option n’est pas utilisée. Si l’application
utilisant Perl IO::Socket::SSL définit une valeur non nulle, elle
est alors ignorée.
Lorsqu’une application emploie le module Perl IO::Socket::SSL,
l’option SSL_verify_mode n’est pas honorée, donc le certificat
distant n’est pas vérifié.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Perl-IO-Socket-SSL-non-verification-du-certificat-10179