Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

OpenSSL FIPS Object Module PRNG : Faille de Sécurité

30/11/2007 10H29
Référence Secunia : SA27859 
Date de publication : 2007-11-30

Risque : Non Critique. Niveau 2 sur 5.
Impact : Contournement de la Sécurité
Lieu : A distance


Solutions :
Solution de l'éditeur


Produit :
OpenSSL FIPS Object Module 1.x

Référence CVE :
CVE-2007-5502



Description :
Une faille de sécurité a été rapportée dans OpenSSL, qui pourrait être exploité par des personnes malintentionnées pour passer outre certaines restrictions de sécurité.

Le problème de sécurité est causé du fait d'une erreur dans l'implémentation de the Pseudo Random Number Generator (PRNG), où a PRNG key et seed sont utilisé qui correspond à the last FIPS self-test. Ceci conduit à predictable généré random data et pourrait affaiblir la sécurité d'applications reposant sur le module.

Le problème de sécurité affecte la version 1.1.1.


Solutions :
L'éditeur a réalisé deux des correctifs qui demonstrate corrige pour le security issue.
CVE-2007-5502-1.txt
CVE-2007-5502-2.txt

L'éditeur recommande waiting pour official approval d'un correctifed distribution. No changes sont permitted pour FIPS 140-2 validée software sans prior official approval.


Vulnérabilité découverte par :

L'éditeur crédite Geoff Lowe of Secure Computing Corporation.

Référence :
http://www.openssl.org/news/secadv_20071129.txt




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.