OpenSSL Fixed Man-In-The-Middle angreb CVE-2015-1793 (Opdatering 2019)

OpenSSL Fixed Man-In-The-Middle angreb CVE-2015-1793 (Opdatering 2019)

En fejl fundet i OpenSSL muligt for hackere at fungere som CA (certificeringscenter)

OpenSSL annonceret mandag i denne uge om den kommende frigivelse af versioner 1.0.2d og 1.0.1p. Siden i går 9th, Juli frigivelsen har været tilgængelig som nævnt i meddelelsen. Det drejer sig om opdaget CVE-2015-1793 (Alternative kæder certifikat forfalskning) der er klassificeret som sårbarhed med høj severity.Google forsker Adam Langley og BoringSSL David Benjamin rapporterede fejlen for to uger siden til OpenSSL-projektet.

Kernen af ​​CVE-2015-1793

Ifølge OpenSSL Security Advisory Kernen i problemet er, at OpenSSL kan undgå at validere præcist, hvis et certifikat udstedes fra en troværdig CA (certificeringscenter). Dette vil til gengæld muligt for hackere at fungere som CA og distribuere ugyldige certifikater for gennemførelse mand-in-the-middle-angreb. Denne fejl gør angriberne stand optrapper applikationer til at se upålideligt og ugyldige SSL (Secure Sockets Layer) certifikater som gyldige. Således, beskyttelsen af ​​hemmelighederne passerede mellem klienter og servere opnås ved kryptografiske procedurer er deaktiveret. Applikationer, som kan verificere certifikater, der indeholder TLS / SSL / DTLS klienter og TLS / SSL / DTLS servere ved hjælp af klient-godkendelse kan blive påvirket af problemet.

Faktisk OpenSSL-versioner 1.0.2c, 1.0.2b, 1.0.1n og 1.0.1o er berørt af denne sårbarhed.

OpenSSL Project Team nævnte også, at versionen 1.0.0 eller 0.9.8 udgivelser er ikke berørt af denne fejl.

    nødvendige opgraderinger

  • Brugere der bruger OpenSSL 1.0.2b / 1.0.2c bør opgradere til 1.0.2d.
  • Brugere der bruger OpenSSL 1.0.1n / 1.0.1o bør opgradere til 1.0.1p.

upåvirket Deltagere

Heldigvis, Mozilla Firefox, Apple Safari og Internet Explorer er ikke berørt, da de ikke bruger OpenSSL til certifikatvalidering. De gælder deres krypto biblioteker. Som for Google Chrome, det bruger BoringSSL der er Google lavet version af OpenSSL i samarbejde med OpenSSL-udviklere.
OpenSSL pakker fordelt med Red Hat, Debian og Ubuntu del af Linux-distributioner er heller ikke påvirket.
Open source løsning udbyder Red Hat også lavet en bekendtgørelse om dette emne, at selv de havde ingen OpenSSL opdateringer siden juni 2015 de stadig helt upåvirket af denne svaghed.

Efterlad et svar

Din email adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Time limit is exhausted. Please reload the CAPTCHA.