L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de NNMi

vulnérabilité CVE-2007-1858

Tomcat : Anonymous Cipher autorisé

Synthèse de la vulnérabilité

Par défaut, un client peut établir une session SSL en utilisant un Anonymous Cipher.
Produits concernés : Tomcat, BES, HPE NNMi, NLD, OES, openSUSE, RHEL, SLES.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/05/2007.
Références : BID-28482, c03223954, CVE-2007-1858, HPSBMU02744, KB25966, RHSA-2007:0326-01, SSRT100776, SUSE-SR:2008:007, VIGILANCE-VUL-6810.

Description de la vulnérabilité

Lors de l'établissement d'une session SSL, les deux parties choisissent les algorithmes correspondant au niveau de sécurité souhaité. Les algorithmes "Anonymous Cipher" permettent d'établir une session sans certificat, mais sont sensibles à une attaque de type Man-in-the-middle.

La configuration par défaut de Tomcat autorise les Anonymous Cipher.

Si l'administrateur a incorrectement installé le certificat serveur, les sessions SSL s'établissent donc de manière non sécurisée. L'administrateur pourrait alors ne pas se rendre compte de la mauvaise configuration.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur NNMi :