Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
 accueil présentation ressources documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
Vigil@nce décrit les vulnérabilités qui affectent vos systèmes, et propose les solutions pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité
vulnérabilité CVE-2009-2510 CVE-2009-2511
Windows, IE : validation incorrecte de X.509

Synthèse de la vulnérabilité
Un attaquant peut inviter la victime à se connecter sur un site SSL employant un certificat X.509 avec un champ illicite, afin de tromper la victime.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : serveur internet.
Moyen d'attaque : 1 attaque.
Compétence de l'attaquant : technicien (2/4).
Confiance : confirmé par l'éditeur (5/5).
Diffusion de la configuration vulnérable : élevée (3/3).
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 01/10/2009.
Dates révisions : 02/10/2009, 06/10/2009.

Produits concernés

Description de la vulnérabilité
Internet Explorer emploie la CryptoAPI de Windows pour gérer les certificats SSL/TLS. D'autres applications emploient la CryptoAPI, qui est impactée par deux vulnérabilités.

Lorsqu'un certificat X.509 contient un caractère nul dans le champ Common Name, la CryptoAPI tronque le champ. Cette vulnérabilité est similaire à VIGILANCE-VUL-8908, même si le code source à l'origine de cette erreur est différent. [grav:2/4; BID-36475, CVE-2009-2510, REJ-2009-3454, >]

Les OIDs (Object ID) indiquent les champs des certificats X.509 (encodés en ASN.1 BER). Le champ "Common Name" possède l'OID 2.5.4.3. Les OIDs 2.5.4.0003 et 2.5.4.2^64.3 sont invalides. Cependant, la CryptoAPI les reconnaît comme 2.5.4.3, c'est-à-dire comme le CN. [grav:2/4; BID-36577, CVE-2009-2511, >]

Un attaquant peut donc inviter la victime à se connecter sur un site SSL employant un certificat X.509 illicite, afin de tromper la victime.

Caractéristiques
Titre : Windows, IE : validation incorrecte de X.509
Références : 974571, BID-36475, BID-36577, CVE-2009-2510, CVE-2009-2511, MS09-056, REJ-2009-3454, VIGILANCE-VUL-9060.
Url : https://vigilance.fr/arbre/1/9060

Sources d'information
Publications et annonces
Exemple de source : MS09-056 - Vulnerabilities in Windows CryptoAPI Could Allow Spoofing (974571)

Solutions pour cette vulnérabilité
Patch correctif ou contre-mesure

Compléments

Vulnérabilité : NULL
Lorsqu'un certificat X.509 contient un caractère nul dans le champ Common Name, la CryptoAPI tronque le champ. Cette vulnérabilité est similaire à VIGILANCE-VUL-8908, même si le code source à l'origine de cette erreur est différent.
Gravité : 2/4.
Références : BID-36475, CVE-2009-2510, REJ-2009-3454.
Publications et annonces
Exemple de source : SSL spoof bug still haunts IE, Safari, Chrome

Vulnérabilité : OID
Les OIDs (Object ID) indiquent les champs des certificats X.509 (encodés en ASN.1 BER). Le champ "Common Name" possède l'OID 2.5.4.3. Les OIDs 2.5.4.0003 et 2.5.4.2^64.3 sont invalides. Cependant, la CryptoAPI les reconnaît comme 2.5.4.3, c'est-à-dire comme le CN.
Gravité : 2/4.
Références : BID-36577, CVE-2009-2511.
Publications et annonces
Exemple de source : PKI Layer Cake: New Collision Attacks Against The Global X.509 CA Infrastructure

Attaque
Outil d'attaque ou exploit 0day



















France Télécom Copyright 1999-2010 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version