Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - OpenSAML Java : validation incomplète de certificat

octobre 2015 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut placer un certificat valide sur un serveur
illicite, puis inviter un client Apache HttpClient 3 à s’y
connecter, afin d’intercepter des communications malgré
l’utilisation du chiffrement.

Produits concernés : Fedora, OpenSAML-J.

Gravité : 2/4.

Date création : 07/08/2015.

DESCRIPTION DE LA VULNÉRABILITÉ

La bibliothèque OpenSAML Java peut gérer des connexions HTTP sur
SSL, à l’aide de Apache HttpClient 3 (VIGILANCE-VUL-12182).

Pour authentifier un serveur, le client doit non seulement valider
le certificat (signatures cryptographiques, dates de validité,
etc.), mais aussi que le certificat présenté corresponde bien au
serveur visité. Cette vérification se fait normalement par les
noms DNS, parfois par les adresses IP. Cependant, HttpClient ne
vérifie pas la compatibilité entre les noms présents dans le
certificat et celui demandé au niveau HTTP, ce qui fait que tout
certificat valide est accepté.

Un attaquant peut donc placer un certificat valide sur un serveur
illicite, puis inviter un client OpenSAML Java à s’y connecter,
afin d’intercepter des communications malgré l’utilisation du
chiffrement.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/OpenSAML-Java-validation-incomplete-de-certificat-17608


Voir les articles précédents

    

Voir les articles suivants