Vigil@nce - FortiOS : Man-in-the-Middle de SSL-VPN
août 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut utiliser un Man-in-the-Middle sur FortiOS, afin
de lire ou modifier les données de la session TLS.
Produits concernés : FortiGate, FortiGate Virtual Appliance,
FortiOS.
Gravité : 1/4.
Date création : 12/08/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
La fonctionnalité SSL-VPN du produit FortiOS utilise le protocole
TLS.
Cependant, seul le premier octet du MAC du message TLS Handshake
Finished Message est vérifié.
Un attaquant peut donc utiliser un Man-in-the-Middle sur FortiOS,
afin de lire ou modifier les données de la session TLS.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/FortiOS-Man-in-the-Middle-de-SSL-VPN-17651