Vigil@nce - apt : absence de vérification du nom via https
octobre 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsque la directive de configuration https::Verify-Host de apt
est configurée, apt accepte de se connecter sur des serveurs dont
le nom n’est pas valide.
Gravité : 1/4
Date création : 19/10/2011
PRODUITS CONCERNÉS
– Debian Linux
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
L’outil apt permet d’installer des paquetages sur le système.
Il utilise la bibliothèque Curl pour se connecter sur des serveurs
https/SSL. L’option CURLOPT_SSL_VERIFYHOST de Curl possède trois
état :
– 0 : ne pas vérifier si le nom du serveur correspond au Common
Name indiqué dans le certificat X.509
– 1 : vérifier la présence d’un champ Common Name dans le
certificat (la documentation de Curl indique que cette option
est inutile)
– 2 : interdire la connexion si le nom du serveur ne correspond
pas au Common Name indiqué dans le certificat
Cependant, suite à une erreur de nom de variable, le code source
de apt emploie 1 au lieu de 2.
Lorsque la directive de configuration https::Verify-Host de apt
est configurée, apt accepte donc de se connecter sur des serveurs
dont le nom n’est pas valide.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/apt-absence-de-verification-du-nom-via-https-11083