Clef privee d'adobe compromise : grand silence ?

Le
Erwan David
Depuis hier circule sur IRC un trou dans le script de download de
shockwave permettant de récupérer n'importe quel fichier sur le serveur
web d'adobe (en fait ça dépend du serveur, ça marche avec certains, pas
avec tous), dont la clef privée SSL

Je n'ai rien vu encore comme annonce officille de ce trou, qui fout
quand même en l'air la sécurité de leur site

Comme en plus les protocoles de répudiation sont inutilisés (car souvent
inutilisables, essayez d'activer OCSP sur un mac : il faudra 20 minutes
pour établir une connexion SSL (via les bibliothèques Apple) après
téléchargement de plusieurs dizaines de mégas octets de données), on
peut considérer que le site d'adobe est mort jusqu'à la date
d'expiration du certificat actuel.

Mais le silence sur cette affaire me parait plus qu'inquiétant.

--
Erwan
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
patpro ~ Patrick Proniewski
Le #877687
In article Erwan David
Depuis hier circule sur IRC un trou dans le script de download de
shockwave permettant de récupérer n'importe quel fichier sur le serveur
web d'adobe (en fait ça dépend du serveur, ça marche avec certains, pas
avec tous), dont la clef privée SSL...

Je n'ai rien vu encore comme annonce officille de ce trou, qui fout
quand même en l'air la sécurité de leur site...


ça n'impacte probablement que www.adobe.com, et donc ils pourraient
prendre un autre certif pour monter un autre domaine à coté (www2, ...).
Typiquement, pour tout ce qui est achat en ligne c'est store*.adobe.com.

Ça reste grave malgré tout, et ils vont surement mettre un moment avant
de corriger le tir.

patpro

--
http://www.patpro.net/

Erwan David
Le #877686
patpro ~ Patrick Proniewski
In article Erwan David
Depuis hier circule sur IRC un trou dans le script de download de
shockwave permettant de récupérer n'importe quel fichier sur le serveur
web d'adobe (en fait ça dépend du serveur, ça marche avec certains, pas
avec tous), dont la clef privée SSL...

Je n'ai rien vu encore comme annonce officille de ce trou, qui fout
quand même en l'air la sécurité de leur site...


ça n'impacte probablement que www.adobe.com, et donc ils pourraient
prendre un autre certif pour monter un autre domaine à coté (www2, ...).
Typiquement, pour tout ce qui est achat en ligne c'est store*.adobe.com.

Ça reste grave malgré tout, et ils vont surement mettre un moment avant
de corriger le tir.



Ce matin ils présentent toujours le même certificat, et c'est au moins
celui permettant d'accéder à son compte sur le store.

--
Erwan


Fabien LE LEZ
Le #877685
On 27 Sep 2007 08:09:13 GMT, Erwan David
Mais le silence sur cette affaire me parait plus qu'inquiétant.


Tu t'attendais vraiment à ce qu'ils annoncent que leur site web est
devenu trop dangereux pour être utilisé ?

Jean-Marc Desperrier
Le #877682
Erwan David wrote:
[...] essayez d'activer OCSP sur un mac : il faudra 20 minutes
pour établir une connexion SSL (via les bibliothèques Apple) après
téléchargement de plusieurs dizaines de mégas octets de données),
[...]


Bizarre, ça ressemble plutôt à un comportement avec CRl de grande taille
quand on active la vérification par CRL.

Pour info et comme je crois me rappeler que le sujet t'était cher, les
produits mozilla depuis la 1.8.1 (donc en théorie Fx 2 mais je n'ai pas
testé) peuvent faire la vérification OCSP à travers un proxy.

Avec Fx 3.0a9pre, qui active par défaut la vérification OCSP pour les
certificats qui le spécifient, ce qui est le cas de celui de
www.adobe.com, pas de révocation visible pour le site.
Pour info toujours, le délai d'accès dans ce mode reste raisonnable.

Ah et puis comme le certificat arrive à expiration le 22 novembre on est
pas tout à fait dans le pire des cas.

Erwan David
Le #877681
Jean-Marc Desperrier
Erwan David wrote:
[...] essayez d'activer OCSP sur un mac : il faudra 20 minutes
pour établir une connexion SSL (via les bibliothèques Apple) après
téléchargement de plusieurs dizaines de mégas octets de données),
[...]


Bizarre, ça ressemble plutôt à un comportement avec CRl de grande
taille quand on active la vérification par CRL.


Comme c'est le même démon qui gère ça chez Apple, c'ets possible qu'il y
ait mélange.

Pour info et comme je crois me rappeler que le sujet t'était cher, les
produits mozilla depuis la 1.8.1 (donc en théorie Fx 2 mais je n'ai
pas testé) peuvent faire la vérification OCSP à travers un proxy.


AH merci, je vais retester.

Avec Fx 3.0a9pre, qui active par défaut la vérification OCSP pour les
certificats qui le spécifient, ce qui est le cas de celui de
www.adobe.com, pas de révocation visible pour le site.
Pour info toujours, le délai d'accès dans ce mode reste raisonnable.

Ah et puis comme le certificat arrive à expiration le 22 novembre on
est pas tout à fait dans le pire des cas.


À condition qu'ils fassent le nouveau certificat avec une nouvelle clef,
pas avec l'ancienne.

Mais maintenant que c'ets paru dans The Register, ils vont moins pouvoir
faire l'autruche.

--
Erwan


Publicité
Poster une réponse
Anonyme