Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsqu’une application emploie le module Perl IO::Socket::SSL,
l’option SSL_verify_mode n’est pas honorée, donc le certificat
distant n’est pas vérifié.

Gravité : 2/4

Date création : 06/12/2010

DESCRIPTION DE LA VULNÉRABILITÉ

Le module Perl IO::Socket::SSL permet de créer des sessions SSL.

L’option SSL_verify_mode indique comment vérifier le certificat
distant :
– 0x0 : aucune vérification
– 0x1 : vérification
– 0x2 : oblige la présence d’un certificat client
– etc.

Cependant, cette option n’est pas utilisée. Si l’application
utilisant Perl IO::Socket::SSL définit une valeur non nulle, elle
est alors ignorée.

Lorsqu’une application emploie le module Perl IO::Socket::SSL,
l’option SSL_verify_mode n’est pas honorée, donc le certificat
distant n’est pas vérifié.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Perl-IO-Socket-SSL-non-verification-du-certificat-10179