Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
  accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
L'équipe Vigil@nce veille les vulnérabilités qui affectent votre parc informatique, puis propose les correctifs, une base et les outils pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

alerte de vulnérabilité CVE-2004-2761

SSL : création de fausse autorité de certification

Synthèse de la vulnérabilité

Un attaquant, disposant de ressources importantes, peut créer une fausse autorité de certification intermédiaire utilisant un hachage MD5.
Produits concernés : ASA, IOS, Cisco Router xx00 Series, Fedora, Notes, Maxthon, IE, Windows (plateforme), Firefox, SeaMonkey, Mozilla, Netscape Navigator, Opera, RHEL, Unix (plateforme).
Gravité : 1/4.
Date création : 16/01/2009.
Références : 17341, BID-33065, CSCsw88068, CSCsw90626, CVE-2004-2761, FEDORA-2009-1276, FEDORA-2009-1291, RHSA-2010:0837-01, RHSA-2010:0838-01, VIGILANCE-VUL-8401, VU#836068.

Description de la vulnérabilité

Fin 2008 (VIGILANCE-ACTU-1377), en utilisant un cluster de 200 consoles de jeux, des chercheurs ont utilisé une collision sur MD5, afin de créer une fausse autorité de certification, reconnue par tous les navigateurs web.

Voici le principe de fonctionnement de cette attaque :
 - L'attaquant choisit une Autorité de Certification (AC) utilisant des signatures MD5 (RapidSSL, FreeSSL, TC TrustCenter AG, RSA Data Security, Thawte, verisign.co.jp).
 - L'attaquant demande un certificat pour site web à cette AC. Ce certificat d'origine est donc signé par MD5.
 - L'attaquant modifie ce certificat pour le transformer en Autorité de Certification Intermédiaire (ACI), puis utilise une collision MD5 afin que ce faux certificat ait la même signature MD5 que le certificat d'origine.
 - L'attaquant utilise l'ACI pour générer un certificat de Site Web (SW).
 - L'attaquant met en place un site web illicite, proposant les certificats du SW et de l'ACI.
 - La victime se connecte sur ce site web. Son navigateur web contient le certificat racine de l'AC, qui authentifie l'ACI et ensuite le SW.

Aucun message d'erreur ne s'affiche dans le navigateur de la victime, qui peut alors faire confiance au site de l'attaquant.
Bulletin Vigil@nce complet.... (accès gratuit)

Partagez ce bulletin

Delicious Digg Facebook Google bookmarks LinkedIn Mail Reddit StumbleUpon Technorati Twitter 

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une veille de vulnérabilité de logiciel. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.



















Copyright 1999-2013 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version