Risque

Contournement de la politique de sécurité.

Systèmes affectés

Les versions d'OpenSSL antérieures à 0.9.7k et 0.9.8c.

Description

Une vulnérabilité a été identifiée dans OpenSSL. Elle permettrait à une personne malveillante de construire une signature PKCS #1 v1.5 à partir d'une clé RSA utilisant un exposant 3. La vérification de la clef ne serait pas effectuée de manière correcte par OpenSSL au moment de la signature.

Une manière usuelle de créer ce genre de clé nécessite la commande suivante : openssl genrsa -3 taille_clé | tee ma_signature.PEM. La signature s'obtient par la commande openssl rsautl -sign.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation