Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

OpenSSL de retrouver premaster-secret

21/01/2007 03H12
Référence Secunia : SA8360 
Date de publication : 2003-03-21
Dernière mise à jour : 2003-04-11

Risque : Non Critique. Niveau 2 sur 5.
Impact : Exposition de données sensibles
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
OpenSSL 0.9.x

Référence CVE :
CVE-2003-0131


Description :
OpenSSL a été trouvé vulnérable à a new attack qui permet à des personnes malicieuses de consulter the premaster-secret, qui peuvent être utilisés pour identifier the session keys utilisé pendant SSL/TLS sessions. Cela rend possible à decrypt the sessions. The premaster-secret n'est pas la même comme le secret RSA.

After the Bleichenbacher attack dans 1998 it was décidé à implémenter certain counter mesures incluant une version number check dans le SSL protocol. Dans tout les cas, le numéro de version check was badly implémenté et leaks information qui makes cela new attack method feasible.

The attack method a été prouvé efficient et feasible over highspeed connections, cela attack requière a few million requêtes à être envoyé au serveur.

For further details please lire "Bulletin Original".


Solutions :
Mettre à jour en version 0.9.7b:
http://www.openssl.org/source/openssl-0.9.7b.tar.gz


Vulnérabilité découverte par :

Vlastimil Klima et Ondrej Pokorny et Tomas Rosa
Historique :
2003-04-11: Updated version de OpenSSL réalisée.

Référence :
http://eprint.iacr.org/2003/052/




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.