Vigil@nce - nginx : non vérification du certificat en mode Proxy SSL
janvier 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsque nginx est configuré en mode Proxy SSL, l’identité du
serveur n’est pas vérifiée, ce qui permet à un attaquant de mettre
en oeuvre une attaque Man-in-the-Middle.
Produits concernés : nginx
Gravité : 2/4
Date création : 04/01/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le serveur nginx peut être configuré en mode Proxy SSL. Dans ce
cas, il se connecte sur un serveur web avec SSL/TLS activé.
Cependant, nginx ne vérifie pas la validité du certificat X.509
présenté par le serveur web.
Lorsque nginx est configuré en mode Proxy SSL, un attaquant peut
donc mettre en oeuvre une attaque Man-in-the-Middle.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/nginx-non-verification-du-certificat-en-mode-Proxy-SSL-12282