| Vigil@nce décrit les vulnérabilités informatiques qui affectent vos systèmes, et propose les solutions pour y remédier. |
|
 |
|
|
|
vulnérabilité CVE-2009-2510 CVE-2009-2511
Windows, IE : validation incorrecte de X.509
Synthèse de la vulnérabilité
| Un attaquant peut inviter la victime à se connecter sur un site SSL employant un certificat X.509 avec un champ illicite, afin de tromper la victime. |
Gravité : 2/4.
Date création : 01/10/2009.
Dates révisions : 02/10/2009, 06/10/2009.
|
Description de la vulnérabilité
Internet Explorer emploie la CryptoAPI de Windows pour gérer les certificats SSL/TLS. D'autres applications emploient la CryptoAPI, qui est impactée par deux vulnérabilités.
Lorsqu'un certificat X.509 contient un caractère nul dans le champ Common Name, la CryptoAPI tronque le champ. Cette vulnérabilité est similaire à VIGILANCE-VUL-8908, même si le code source à l'origine de cette erreur est différent. [grav:2/4; BID-36475, CVE-2009-2510, REJ-2009-3454, >]
Les OIDs (Object ID) indiquent les champs des certificats X.509 (encodés en ASN.1 BER). Le champ "Common Name" possède l'OID 2.5.4.3. Les OIDs 2.5.4.0003 et 2.5.4.2^64.3 sont invalides. Cependant, la CryptoAPI les reconnaît comme 2.5.4.3, c'est-à-dire comme le CN. [grav:2/4; BID-36577, CVE-2009-2511, >]
Un attaquant peut donc inviter la victime à se connecter sur un site SSL employant un certificat X.509 illicite, afin de tromper la victime. |
Bulletin Vigil@nce complet
Caractéristiques
Titre : Windows, IE : validation incorrecte de X.509.
Mots clés : 0003 509 ASN BER Common CryptoAPI Explorer Name OID OIDs Object REJ-2009-3454 SSL TLS Windows incorrecte validation.
Références : 974571, BID-36475, BID-36577, CVE-2009-2510, CVE-2009-2511, MS09-056, REJ-2009-3454, VIGILANCE-VUL-9060.
|
Sources d'information
Solutions pour cette vulnérabilité
Compléments
Vulnérabilité : NULL
Lorsqu'un certificat X.509 contient un caractère nul dans le champ Common Name, la CryptoAPI tronque le champ. Cette vulnérabilité est similaire à VIGILANCE-VUL-8908, même si le code source à l'origine de cette erreur est différent.
Gravité : 2/4.
Références : BID-36475, CVE-2009-2510, REJ-2009-3454.
|
|
Vulnérabilité : OID
Les OIDs (Object ID) indiquent les champs des certificats X.509 (encodés en ASN.1 BER). Le champ "Common Name" possède l'OID 2.5.4.3. Les OIDs 2.5.4.0003 et 2.5.4.2^64.3 sont invalides. Cependant, la CryptoAPI les reconnaît comme 2.5.4.3, c'est-à-dire comme le CN.
Gravité : 2/4.
Références : BID-36577, CVE-2009-2511.
|
|
Service de veille sur les vulnérabilités informatiques
Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Vulnérabilité informatique d'applications
|