Vigil@nce - OpenSAML Java : validation incomplète de certificat
octobre 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut placer un certificat valide sur un serveur
illicite, puis inviter un client Apache HttpClient 3 à s’y
connecter, afin d’intercepter des communications malgré
l’utilisation du chiffrement.
Produits concernés : Fedora, OpenSAML-J.
Gravité : 2/4.
Date création : 07/08/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque OpenSAML Java peut gérer des connexions HTTP sur
SSL, à l’aide de Apache HttpClient 3 (VIGILANCE-VUL-12182).
Pour authentifier un serveur, le client doit non seulement valider
le certificat (signatures cryptographiques, dates de validité,
etc.), mais aussi que le certificat présenté corresponde bien au
serveur visité. Cette vérification se fait normalement par les
noms DNS, parfois par les adresses IP. Cependant, HttpClient ne
vérifie pas la compatibilité entre les noms présents dans le
certificat et celui demandé au niveau HTTP, ce qui fait que tout
certificat valide est accepté.
Un attaquant peut donc placer un certificat valide sur un serveur
illicite, puis inviter un client OpenSAML Java à s’y connecter,
afin d’intercepter des communications malgré l’utilisation du
chiffrement.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/OpenSAML-Java-validation-incomplete-de-certificat-17608