Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
  accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
L'équipe Vigil@nce veille les vulnérabilités qui affectent votre parc informatique, puis propose les correctifs, une base et les outils pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

annonce de vulnérabilité CVE-2012-0884

OpenSSL : attaque Bleichenbacher sur CMS et PKCS7

Synthèse de la vulnérabilité

L'attaque Bleichenbacher peut être menée contre l'implémentation OpenSSL de CMS et PKCS#7, afin d'obtenir des informations en clair, à l'aide de 2^20 messages.
Produits concernés : IPSO, Debian, Fedora, FreeBSD, HP-UX, AIX, IVE OS, Junos Pulse, Juniper SA, MES, Mandriva Linux, OpenSSL, openSUSE, Solaris, RHEL, JBoss Enterprise, SUSE Linux Enterprise Desktop, SLES.
Gravité : 1/4.
Date création : 12/03/2012.
Références : BID-52428, c03333987, CERTA-2012-AVI-134, CERTA-2012-AVI-286, CERTA-2012-AVI-419, CVE-2012-0884, DSA 2454-1, FEDORA-2012-4659, FEDORA-2012-4665, FreeBSD-SA-12:01.openssl, HPSBUX02782, MDVSA-2012:038, openSUSE-SU-2012:0547-1, openSUSE-SU-2013:0336-1, openSUSE-SU-2013:0337-1, openSUSE-SU-2013:0339-1, PSN-2012-09-712, RHSA-2012:0426-01, RHSA-2012:1306-01, RHSA-2012:1307-01, RHSA-2012:1308-01, sk76360, SSRT100844, SUSE-SU-2012:0479-1, VIGILANCE-VUL-11427.

Description de la vulnérabilité

Le format PKCS#7 permet de représenter un document signé ou chiffré. CMS (Cryptographic Message Syntax) est une amélioration de PKCS#7. S/MIME utilisait PKCS#7, et utilise maintenant CMS. TLS/SSL utilise ni PKCS#7 ni CMS.

En 1998, Daniel Bleichenbacher a proposé une attaque déterminant si des données en clair font partie de données chiffrées utilisant des blocs PKCS#1. Cette attaque est nommée "Million Message Attack" car elle nécessite d'interroger de nombreuses fois un oracle.

Cependant, l'attaque Bleichenbacher peut être menée contre l'implémentation OpenSSL de CMS et PKCS#7, afin d'obtenir des informations en clair, à l'aide de 2^20 messages.

Les détails techniques ne sont pas connus.
Bulletin Vigil@nce complet.... (accès gratuit)

Partagez ce bulletin

Delicious Digg Facebook Google bookmarks LinkedIn Mail Reddit StumbleUpon Technorati Twitter 

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des avis de vulnérabilité applicative. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.



















Copyright 1999-2013 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version