Vigil@nce - curl : Man-in-the-Middle avec SSL_VERIFYSTATUS
avril 2017 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut se positionner en Man-in-the-Middle sur curl
avec CURLOPT_SSL_VERIFYSTATUS, afin de lire ou modifier des
données de la session.
Produits concernés : curl, pfSense.
Gravité : 2/4.
Date création : 22/02/2017.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit curl utilise le protocole TLS afin de créer des
sessions sécurisées.
Cependant, le certificat X.509 et l’identité du service ne sont
pas correctement vérifiés lors de l’utilisation de
CURLOPT_SSL_VERIFYSTATUS (OCSP Stapling, TLS Certificate Status
Request).
Un attaquant peut donc se positionner en Man-in-the-Middle sur
curl avec CURLOPT_SSL_VERIFYSTATUS, afin de lire ou modifier des
données de la session.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/curl-Man-in-the-Middle-avec-SSL-VERIFYSTATUS-21925