Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - SPDY : obtention de cookie HTTP via Deflate, CRIME

décembre 2012 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant, qui peut contrôler les connexions SPDY du navigateur web de la victime, peut employer de nombreuses sessions compressées par Deflate afin de calculer les entêtes HTTP, comme les cookies.

Produits concernés : BIG-IP Appliance, Firefox

Gravité : 1/4

Date création : 26/12/2012

DESCRIPTION DE LA VULNÉRABILITÉ

Le bulletin VIGILANCE-VUL-11952 (https://vigilance.fr/arbre/1/11952) décrit une vulnérabilité de SSL/TLS, qui permet à un attaquant d’utiliser la compression, afin d’obtenir des entêtes HTTP chiffrés.

Le protocole SPDY (implémenté par Chrome et Firefox) supporte aussi la compression, et est donc affecté par la même vulnérabilité.

Un attaquant, qui peut contrôler les connexions SPDY du navigateur web de la victime, peut donc employer de nombreuses sessions compressées par Deflate afin de calculer les entêtes HTTP, comme les cookies.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/S...




Voir les articles précédents

    

Voir les articles suivants