Clef privee d'adobe compromise : grand silence ?
Le
Erwan David
Depuis hier circule sur IRC un trou dans le script de download de
shockwave permettant de récupérer n'importe quel fichier sur le serveur
web d'adobe (en fait ça dépend du serveur, ça marche avec certains, pas
avec tous), dont la clef privée SSL
Je n'ai rien vu encore comme annonce officille de ce trou, qui fout
quand même en l'air la sécurité de leur site
Comme en plus les protocoles de répudiation sont inutilisés (car souvent
inutilisables, essayez d'activer OCSP sur un mac : il faudra 20 minutes
pour établir une connexion SSL (via les bibliothèques Apple) après
téléchargement de plusieurs dizaines de mégas octets de données), on
peut considérer que le site d'adobe est mort jusqu'à la date
d'expiration du certificat actuel.
Mais le silence sur cette affaire me parait plus qu'inquiétant.
--
Erwan
shockwave permettant de récupérer n'importe quel fichier sur le serveur
web d'adobe (en fait ça dépend du serveur, ça marche avec certains, pas
avec tous), dont la clef privée SSL
Je n'ai rien vu encore comme annonce officille de ce trou, qui fout
quand même en l'air la sécurité de leur site
Comme en plus les protocoles de répudiation sont inutilisés (car souvent
inutilisables, essayez d'activer OCSP sur un mac : il faudra 20 minutes
pour établir une connexion SSL (via les bibliothèques Apple) après
téléchargement de plusieurs dizaines de mégas octets de données), on
peut considérer que le site d'adobe est mort jusqu'à la date
d'expiration du certificat actuel.
Mais le silence sur cette affaire me parait plus qu'inquiétant.
--
Erwan
Poser une question
ça n'impacte probablement que www.adobe.com, et donc ils pourraient
prendre un autre certif pour monter un autre domaine à coté (www2, ...).
Typiquement, pour tout ce qui est achat en ligne c'est store*.adobe.com.
Ça reste grave malgré tout, et ils vont surement mettre un moment avant
de corriger le tir.
patpro
--
http://www.patpro.net/
Ce matin ils présentent toujours le même certificat, et c'est au moins
celui permettant d'accéder à son compte sur le store.
--
Erwan
Tu t'attendais vraiment à ce qu'ils annoncent que leur site web est
devenu trop dangereux pour être utilisé ?
Bizarre, ça ressemble plutôt à un comportement avec CRl de grande taille
quand on active la vérification par CRL.
Pour info et comme je crois me rappeler que le sujet t'était cher, les
produits mozilla depuis la 1.8.1 (donc en théorie Fx 2 mais je n'ai pas
testé) peuvent faire la vérification OCSP à travers un proxy.
Avec Fx 3.0a9pre, qui active par défaut la vérification OCSP pour les
certificats qui le spécifient, ce qui est le cas de celui de
www.adobe.com, pas de révocation visible pour le site.
Pour info toujours, le délai d'accès dans ce mode reste raisonnable.
Ah et puis comme le certificat arrive à expiration le 22 novembre on est
pas tout à fait dans le pire des cas.
Comme c'est le même démon qui gère ça chez Apple, c'ets possible qu'il y
ait mélange.
AH merci, je vais retester.
À condition qu'ils fassent le nouveau certificat avec une nouvelle clef,
pas avec l'ancienne.
Mais maintenant que c'ets paru dans The Register, ils vont moins pouvoir
faire l'autruche.
--
Erwan