Détails:
Une vulnérabilité a été identifiée dans OpenSSL, celle-ci pourrait exploitée par des personnes malintentionnées afin d'usurper la signature de certificats.

La vulnérabilité est due à certaines fonctions de OpenSSL qui ne vérifient pas correctement la valeur de retour de la fonction "EVP_VerifyFinal()" lors de la validation de la signature de clés DSA et ECDSA. Cela pourrait être exploité afin de contourner la vérification de la signature en envoyant par exemple une signature spécialement conçue d'une chaîne de certificat à un client.

Pour que l'exploitation soit réalisable, le serveur doit utiliser un certificat contenant une clé DSA ou ECDSA.

La vulnérabilité aurait été identifiée dans les versions antérieures à 0.9.8j.

Solution:
Mettre à jour à la version 0.9.8j.

Références:
http://secunia.com/advisories/33338/
http://www.ocert.org/advisories/ocert-2008-016.html
http://www.openssl.org/news/secadv_20090107.txt Avis original

Crédits:
Vulnérabilité découverte par Google Security Team.

  En parler sur le forum...
  S'inscrire à la liste de diffusion...