Delicious Digg Facebook Favorites More Stumbleupon Twitter

Vigil@nce – cURL : Man-in-the-Middle de mbedTLS/PolarSSL

Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut se positionner en Man-in-the-Middle sur cURL compilé avec mbedTLS/PolarSSL, afin de lire ou modifier des données de la session.

Produits concernés : cURL, Slackware.

Gravité : 2/4.

Date création : 18/05/2016.

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit cURL utilise le protocole TLS qui peut être fourni par la bibliothèque mbedTLS/PolarSSL.

La fonction mbedtls_ssl_set_hostname() ou ssl_set_hostname() doit être utilisée pour définir le nom du serveur, sinon la vérification de certificat X.509 n’est pas faite par mbedTLS/PolarSSL.

Cependant, cURL n’appelle pas ces fonctions lorsque l’url demandée contient une adresse IP.

Un attaquant peut donc se positionner en Man-in-the-Middle sur cURL compilé avec mbedTLS/PolarSSL, afin de lire ou modifier des données de la session.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/…

Source:: Global Security Mag

Text Widget

Aliquam ut tellus ligula. Nam blandit massa nec neque rutrum a euismod t ellus ultricies! Phasellus nulla tellus, fringilla quis tristique ornare, condi mentum non erat. Aliquam congue or nare varius.