OpenSSL Fest Man-In-The-Middle-Angriff CVE-2015-1793 (Aktualisieren 2019)

OpenSSL Fest Man-In-The-Middle-Angriff CVE-2015-1793 (Aktualisieren 2019)

Ein Fehler in OpenSSL gefunden ermöglicht es Angreifern, wie CA zu handeln (Zertifizierungsstelle)

OpenSSL angekündigt am Montag diese Woche über die bevorstehende Veröffentlichung von Versionen 1.0.2d und 1.0.1p. Seit gestern 9., Juli der Veröffentlichung wurde in der Ankündigung wie erwähnt verfügbar. Es handelt sich entdeckt CVE-2015-1793 (Alternative Ketten Zertifikat Fälschung) dass als Verwundbarkeit klassifiziert mit hohem severity.Google Forschern Adam Langley und BoringSSL David Benjamin berichtete den Fehler vor zwei Wochen mit dem OpenSSL-Projekt.

Der Kernel von CVE-2015-1793

Nach OpenSSL Security Advisory der Kern des Problems ist, dass OpenSSL genau zur Validierung fehl, wenn ein Zertifikat von einer vertrauenswürdigen CA ausgestellt (Zertifizierungsstelle). Dies wiederum ermöglicht es Angreifern als CA zu handeln und ungültige Zertifikate verteilen für die Umsetzung Man-in-the-Middle-Angriffe. Dieser Fehler macht die Angreifer können Anwendungen Engendering nicht vertrauenswürdige und ungültige SSL zu sehen (Secure Sockets Layer) Zertifikate als gültig. So, der Schutz der Geheimnisse zwischen Clients und Servern erreicht durch kryptographische Verfahren geführt wird deaktiviert. Anwendungen, die Zertifikate enthalten, TLS / SSL / DTLS Kunden und TLS / SSL / DTLS Server mit Hilfe von Client-Authentifizierung überprüfen können von dem Problem betroffen werden.

In der Tat OpenSSL 1.0.2c Versionen, 1.0.2b, 1.0.1n und 1.0.1o sind von dieser Sicherheitsanfälligkeit betroffen.

Das OpenSSL-Projektteam auch erwähnt, dass die Version 1.0.0 oder 0.9.8 Versionen werden nicht von diesem Fehler betroffen.

    notwendige Upgrades

  • Benutzer mit OpenSSL 1.0.2b / 1.0.2c sollte ein Upgrade auf 1.0.2d.
  • Benutzer mit OpenSSL 1.0.1n / sollte 1.0.1o zu 1.0.1p Upgrade.

unbeeinflusst Teilnehmer

Zum Glück, Mozilla Firefox, Apple Safari und Internet Explorer sind nicht betroffen, da sie verwenden OpenSSL nicht zur Validierung des Zertifikats. Sie gelten ihre Krypto-Bibliotheken. Wie für Google Chrome, es nutzt BoringSSL die Google-Version von OpenSSL ist in die mit OpenSSL-Entwickler zusammenarbeiten.
Die OpenSSL-Pakete verteilt mit Red Hat, Debian und Ubuntu Teil von Linux-Distributionen sind ebenfalls nicht betroffen.
Open-Source-Lösungsanbieter Red Hat auch gemacht ein Ankündigung zu diesem Thema, die sie hatten kein OpenSSL Updates seit Juni auch 2015 sie immer noch völlig unberührt von dieser Sicherheitsanfälligkeit.

Lassen Sie eine Antwort

Ihre Email-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Time limit is exhausted. Please reload the CAPTCHA.