Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - libwww-perl : man-in-the-middle via SSL

mai 2011 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut se positionner en Man-in-the-middle, entre une
application utilisant libwww-perl et un serveur, afin de lire ou
modifier les données échangées.

Gravité : 1/4

Date création : 19/05/2011

PRODUITS CONCERNÉS

 Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

La bibliothèque libwww-perl (LWP) est un ensemble de modules Perl
qui fournit une API de programmation web. L’objectif principal de
la bibliothèque est de fournir des classes et des fonctions qui
permettent d’écrire des clients/serveurs web. La bibliothèque
libwww-perl gère les protocoles HTTP/HTTPS/FTP.

Lorsqu’une application web cliente utilisant libwww-perl initie
une connection HTTPS avec un serveur, le module LWP::UserAgent ne
vérifie pas si le nom de machine indiqué dans le certificat X.509
serveur correspond au nom du serveur.

La documentation de LWP indique que les développeurs doivent
employer l’entête HTTP "If-SSL-Cert-Subject" afin de mener cette
vérification. Cependant, aucune application liée à LWP ne semble
suivre la documentation.

Un attaquant peut donc se positionner en Man-in-the-middle, entre
une application utilisant libwww-perl et un serveur, afin de lire
ou modifier les données échangées.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/libwww-perl-man-in-the-middle-via-SSL-10670


Voir les articles précédents

    

Voir les articles suivants