Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant, qui peut contrôler les connexions SPDY du navigateur
web de la victime, peut employer de nombreuses sessions
compressées par Deflate afin de calculer les entêtes HTTP, comme
les cookies.

Produits concernés : BIG-IP Appliance, Firefox

Gravité : 1/4

Date création : 26/12/2012

DESCRIPTION DE LA VULNÉRABILITÉ

Le bulletin VIGILANCE-VUL-11952 (https://vigilance.fr/arbre/1/11952)
décrit une vulnérabilité de SSL/TLS, qui permet à un attaquant
d’utiliser la compression, afin d’obtenir des entêtes HTTP
chiffrés.

Le protocole SPDY (implémenté par Chrome et Firefox) supporte
aussi la compression, et est donc affecté par la même
vulnérabilité.

Un attaquant, qui peut contrôler les connexions SPDY du navigateur
web de la victime, peut donc employer de nombreuses sessions
compressées par Deflate afin de calculer les entêtes HTTP, comme
les cookies.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/SPDY-obtention-de-cookie-HTTP-via-Deflate-CRIME-12265