OpenSSL Fisso Man-in-the-middle CVE-2015-1793 (Aggiornare 2019)

OpenSSL Fisso Man-in-the-middle CVE-2015-1793 (Aggiornare 2019)

Un bug trovato in OpenSSL consente agli aggressori di agire come CA (Certificate Authority)

OpenSSL annunciato il Lunedi questa settimana circa l'imminente rilascio di versioni 1.0.2d e 1.0.1p. Da ieri 9 °, Luglio, il rilascio è disponibile, come indicato nel bando. Riguarda rilevato CVE-2015-1793 (catene alternativi certificato falso) che è classificato come vulnerabilità ad alto severity.Google ricercatore Adam Langley e di BoringSSL David Benjamin ha riportato il bug due settimane fa al progetto OpenSSL.

Il kernel di CVE-2015-1793

Secondo Advisory OpenSSL Sicurezza il nucleo del problema è che OpenSSL può non validare accuratamente se un certificato è rilasciato da una CA affidabile (Certificate Authority). Questo a sua volta consente agli aggressori di agire come CA e distribuire i certificati non validi per l'attuazione di attacchi man-in-the-middle. Questo bug rende gli attaccanti in grado di generare applicazioni per vedere SSL non attendibili e non validi (Secure Sockets Layer) certificati come valida. Quindi, la protezione dei segreti passati tra client e server realizzati dalle procedure di crittografia è disabilitata. Le applicazioni che verificano i certificati contenenti client TLS / SSL / DTLS e server / SSL / TLS utilizzando DTLS autenticazione del client possono essere influenzati dalla questione.

Infatti OpenSSL 1.0.2c versioni, 1.0.2b, 1.0.1n e 1.0.1o sono interessati da questa vulnerabilità.

Il team di progetto OpenSSL ha anche ricordato che la versione 1.0.0 o 0.9.8 comunicati che non sono interessate da questo bug.

    aggiornamenti necessari

  • Gli utenti che utilizzano OpenSSL 1.0.2b / 1.0.2c devono eseguire l'aggiornamento a 1.0.2d.
  • Gli utenti che utilizzano OpenSSL 1.0.1n / 1.0.1o devono eseguire l'aggiornamento a 1.0.1p.

I partecipanti non colpiti

Fortunatamente, Mozilla Firefox, Apple Safari e Internet Explorer non sono interessati in quanto non utilizzano OpenSSL per la convalida dei certificati. Esse si applicano le loro librerie crittografiche. Come per Google Chrome, utilizza BoringSSL che Google ha fatto la versione di OpenSSL a collaborare con gli sviluppatori di OpenSSL.
I pacchetti OpenSSL distribuiti con Red Hat, Debian e Ubuntu parte delle distribuzioni Linux non sono anche colpiti.
Aprire soluzione di fonte fornitore di Red Hat ha anche fatto un annuncio su questo argomento che anche loro avevano aggiornamenti OpenSSL dal giugno 2015 ancora interamente influenzato da questa vulnerabilità.

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Time limit is exhausted. Please reload the CAPTCHA.