Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
 accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
L'équipe Vigil@nce veille les vulnérabilités qui affectent votre parc informatique, puis propose les correctifs, une base et les outils pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

vulnérabilité CVE-2009-3024

Perl IO-Socket-SSL : vérification incorrecte du certificat

Synthèse de la vulnérabilité

Un attaquant peut mettre en place un client ou un serveur avec un certificat SSL illicite, qui n'est pas détecté par le module IO::Socket::SSL pour Perl.
Gravité : 2/4.
Date création : 08/07/2009.

Produits concernés

Description de la vulnérabilité

Le module CPAN IO::Socket::SSL pour Perl implémente un tunnel SSL.

La fonction verify_hostname_of_cert() du fichier SSL.pm vérifie si le certificat correspond au nom de la machine. Cependant, cette fonction emploie une expression régulière sans la terminer par '$' (marqueur de fin de chaîne). Un certificat pour "www.exam" peut donc être employé pour la machine "www.example.com" ou "www.examen.dom".

Un attaquant peut donc mettre en place un client ou un serveur avec un certificat SSL illicite, qui n'est pas détecté par le module IO::Socket::SSL pour Perl.

Partagez ce bulletin

Delicious Digg Facebook Google bookmarks LinkedIn Mail Reddit StumbleUpon Technorati Twitter Yahoo 

Bulletin Vigil@nce complet

Perl IO-Socket-SSL : vérification incorrecte du certificat

Caractéristiques

Titre : Perl IO-Socket-SSL : vérification incorrecte du certificat.
Mots clés : CPAN IO-Socket-SSL Perl SSL Socket certificat incorrecte verify_hostname_of_cert vérification.
Références : CVE-2009-3024, FEDORA-2009-7435, FEDORA-2009-7544, MDVSA-2009:178, MDVSA-2009:252-1, SUSE-SR:2009:015, VIGILANCE-VUL-8845.

Sources d'information

Publications et annonces
Exemple de source : v1.26 SECURITY BUGFIX!

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Compléments

Attaque

Outil d'attaque ou exploit 0day

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une annonce de vulnérabilité de réseau. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.



















Copyright 1999-2012 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version