Vigil@nce - Mozilla NSS : acceptation de signature ECDSA invalide
octobre 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer une signature ECDSA invalide, mais qui
est tout de même acceptée par Mozilla NSS.
Produits concernés : Debian, NSS, RHEL.
Gravité : 2/4.
Date création : 18/08/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Mozilla NSS implémente les signatures ECDSA (Elliptic
Curve Digital Signature Algorithm).
Cependant, une erreur dans le calcul de la multiplication conduit
à l’acceptation de signatures normalement invalides.
Un attaquant peut donc créer une signature ECDSA invalide, mais
qui est tout de même acceptée par Mozilla NSS.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Mozilla-NSS-acceptation-de-signature-ECDSA-invalide-17694