News
Vigil@nce - GnuTLS : acceptation de certificat avec un CA non autorisé pour serveur
avril 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer un certificat illicite, qui est accepté
comme étant valide par GnuTLS, afin d’inviter la victime à se
connecter sur un serveur en Man-in-the-Middle.
Produits concernés : Unix (plateforme)
Gravité : 2/4
Date création : 04/04/2014
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque GnuTLS implémente le protocole SSL/TLS. Elle doit
effectuer des vérifications sur les certificats X.509.
Cependant, cette bibliothèque accepte un certificat qui n’est pas
autorisé à être utilisé pour l’authentification d’un serveur.
Un attaquant peut donc créer un certificat illicite, qui est
accepté comme étant valide par GnuTLS, afin d’inviter la victime à
se connecter sur un serveur en Man-in-the-Middle.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
