Risque
- Contournement de la politique de sécurité
Systèmes affectés
GnuTLS, version 2.8.1 et versions antérieures.
Résumé
Une vulnérabilité dans GnuTLS permet à un utilisateur malveillant de contourner la politique de sécurité.
Description
Un défaut de traitement d'un certificat de clef publique dont le champ commonName ou le champ subjectAlternateName contient un caractère ASCII null conduit à un affichage inexact de ces champs ou à une absence de détection de différence avec un nom d'hôte. Ce défaut peut être exploité par un utilisateur malveillant pour tromper l'utilisateur sur l'identité d'un serveur sur lequel il est connecté.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité GNUTLS-SA-2009-4 du 10 août 2009 http://www.gnu.org/software/gnutls/security.html
- Bulletin de sécurité Ubuntu USN-809-1 du 19 août 2009 : http://www.ubuntu.com/usn/usn-809-1
- Site de téléchargement du projet GnuTLS : http://www.gnu.org/software/gnutls/download.html
- Référence CVE CVE-2009-2730 https://www.cve.org/CVERecord?id=CVE-2009-2730
