Risque

Contournement de la politique de sécurité.

Systèmes affectés

  • OpenSSL pour les versions antérieures à 0.9.8j.

Résumé

Une vulnérabilité a été identifiée dans OpenSSL. Elle permet à un site malveillant de contourner la vérification de la signature par le poste de l'utilisateur.

Description

Une vulnérabilité a été identifiée dans OpenSSL. Plusieurs fonctions ne vérifient pas correctement le retour de la fonction EVP_VerifyFinal() pour des signatures avec clés DSA ou ECDSA. Une mauvaise signature est alors considérée comme bonne.

Cette vulnérabilité peut être exploitée pour contourner la vérification de la signature par le client, dans le cas où la personne malveillante administre un site malveillant ou utilise une attaque de la forme homme-au-milieu.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation