lundi 8 décembre 2008
GnuTLS vs. Debian OpenSSL
Par Trou,
lundi 8 décembre 2008 à 22:09 :: Invités
:: lu 4527 fois ::
English
près la publicité, certes légitime, autour de la faille OpenSSL dans Debian du début de cette année, penchons-nous sur une vulnérabilité récente qui n'a absolument pas fait parler d'elle, malgré ses conséquences désastreuses.
Celle-ci affecte également une bibliothèque implémentant le protocole TLS : GnuTLS. Référencée par les identifiants GNUTLS-SA-2008-3 et CVE-2008-4989, cette faille permet à un attaquant de contourner la vérification de la chaîne de confiance d'un certificat. C'est-à-dire faire considérer comme légitime (signé par une autorité de confiance) un certificat qui ne devrait pas l'être (par exemple auto-signé).
Avant de voir les causes de cette faille, précisons qu'elle a été découverte par hasard, suite à une erreur : Martin von Gagern avait interverti deux certificats dans la chaîne présentée par son serveur Web au client.
