[guru] Sulyos SSLv3 / TLS protokoll hiba
DATE: Tue, 24 Nov 2009 21:54:57 +0100
Súlyos biztonsági hibát találtak az SSLv3 és TLS protokollokban. A hiba
Man in the Middle támadást tesz lehetővé a kliens és a szerver között, a
támadó adatot szúrhat be a kapcsolat elején. A hibát a támadó úgy tudja
kihasználni, hogy a klienstől vett TLS kapcsolat kiépítési kérését elteszi,
majd saját maga épít fel a szerverrel egy anonymous kapcsolatot. Itt adatokat
küld, majd kér egy opció újraegyeztetést, és ilyenkor az eredeti kliens
kérést elküldi.
Az opció újraegyeztetés után már sem adatot nem tud küldeni sem lehallgatni,
de a hiba ilyenkorra már megtörtént. Bizonyos protokollok (pl. https) elég
súlyosan érintettek. Alkalmazás szinten meg lehet próbálni leszorítani a
hiba kiterjedését, de az igazi javításhoz protokollt kell módosítani.
Csatolva egy összefoglaló leírás az eddig megjelent információkról.
--- Begin Message ---
Dear List,
This paper explains the vulnerability for a broader audience and
summarizes the information that is currently available. The document
is prone to updates and is believed to be accurate by the time of
writing.
Post:
http://blog.g-sec.lu/2009/11/tls-sslv3-renegotiation-vulnerability.html
Direct Download
http://clicky.me/tlsvuln
Disclaimer
Information is believed to be accurate by the time of writing.
As this vulnerability has complex implications this document
is prone to revisions in the future.
Thierry ZOLLER - G-SEC
http://www.g-sec.lu
Principal Security Consultant
--- End Message ---