Vigil@nce - TLS, OpenSSL : surcharge via renégociation
juillet 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un client illicite peut demander de nombreuses renégociations à un
serveur SSL/TLS, afin de le surcharger.
Gravité : 2/4
Date création : 08/07/2011
PRODUITS CONCERNÉS
– Apache httpd
– OpenSSL
DESCRIPTION DE LA VULNÉRABILITÉ
A l’ouverture d’une connexion utilisant SSL/TLS, un mécanisme de
négociation permet au client et au serveur de se mettre d’accord
sur l’algorithme de chiffrement a utiliser. Le protocole autorise
une renégociation à n’importe quel moment de la connexion (par
exemple si le client utilise un certificat).
Cependant, la renégociation est un algorithme complexe, qui
nécessite beaucoup plus de ressources sur le serveur que sur le
client.
Un client illicite peut donc demander de nombreuses renégociations
à un serveur SSL/TLS, afin de le surcharger.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/TLS-OpenSSL-surcharge-via-renegociation-10823