Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant, ayant accès à l’autorité de certification de
développement de Juniper, peut créer un faux site, qui n’est pas
détecté par Junos Pulse Secure Access Service (SSL VPN) ou Junos
Pulse Access Control Service (UAC).

Produits concernés : IVE OS, Juniper SA, Juniper UAC

Gravité : 2/4

Date création : 14/06/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Les produits Junos Pulse Secure Access Service (SSL VPN) et Junos
Pulse Access Control Service (UAC) contiennent une liste
d’autorités de certifications de confiance. Ainsi, lorsqu’un site
possède un certificat émis par l’une de ces AC, l’utilisateur ne
voit pas de message d’erreur.

Cependant, le certificat racine du serveur de développement de
Juniper a été intégré dans certaines versions en production des
produits Juniper.

Un attaquant, ayant accès à l’autorité de certification de
développement de Juniper, peut donc créer un faux site, qui n’est
pas détecté par Junos Pulse Secure Access Service (SSL VPN) ou
Junos Pulse Access Control Service (UAC).

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Juniper-SA-UAC-usurpation-de-site-via-Trusted-Server-CA-Root-12979