Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - TLS : déchiffrement de RC4 via Bar Mitzvah Attack

mai 2015 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut utiliser l’attaque Bar Mitzvah sur TLS, afin
d’obtenir des informations sensibles chiffrées par RC4.

 Produits concernés : Black Diamond, ExtremeXOS, Summit, AIX,
Tivoli Workload Scheduler, WebSphere MQ, SSL/TLS, RHEL
 Gravité : 2/4
 Date création : 27/03/2015

DESCRIPTION DE LA VULNÉRABILITÉ

Lors de l’initialisation d’une session TLS, le client et le
serveur négocient des algorithmes cryptographiques. L’algorithme
RC4 peut être choisi pour chiffrer.

Pour certaines clés faibles (une sur 2^24), la faiblesse
"Invariance Weakness" permet de prédire les deux bits les plus
faibles (LSB - Least Significant Bit) des 100 premiers octets
chiffrés avec RC4. Le premier message TLS chiffré étant
"Finished" (36 octets), un attaquant peut alors prédire les LSB
de 64 octets.

Un attaquant peut donc utiliser l’attaque Bar Mitzvah sur TLS,
afin d’obtenir des informations sensibles chiffrées par RC4.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/TLS-dechiffrement-de-RC4-via-Bar-Mitzvah-Attack-16486


Voir les articles précédents

    

Voir les articles suivants