![]() |
CERTA Centre d'Expertise Gouvernemental de |
![]() |
|
Affaire suivie par : CERTA Objet : Vulnérabilité du
protocole SSL/TLS
Gestion du document
Une gestion de version détaillée se trouve à la fin de ce document. 1 RisqueContournement de la politique de sécurité. 2 Systèmes affectés
D'autres implémentations du protocole sont probablement touchées, ainsi que des applications utilisant OpenSSL. 3 RésuméUne vulnérabilité dans le protocole SSL/TLS permet à une personne malintentionnée de contourner la politique de sécurité. 4 DescriptionUne vulnérabilité a été identifiée dans le protocole SSL/TLS lors de renégociations de sessions. Une personne s'étant au préalable mise en situation « d'homme au milieu » (man in the middle) peut, dans certaines circonstances, injecter des données à l'encontre d'un utilisateur, pour, par exemple, forcer l'envoi d'une requête HTTP au serveur vers lequel la victime se connecte. 5 SolutionLa version 0.9.8l de OpenSSL désactive la renégociation de sessions par défaut. 6 Documentation
Gestion détaillée du document
CERTA 2010-03-04 |
![]() |
||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||