OpenSSL Vaste Man-in-the-middle-aanval CVE-2015-1793 (Bijwerken 2019)

OpenSSL Vaste Man-in-the-middle-aanval CVE-2015-1793 (Bijwerken 2019)

Een bug gevonden in OpenSSL aanvallers de mogelijkheid om op te treden als CA (Certificate Authority)

OpenSSL aangekondigd op maandag deze week over de aanstaande release van versie 1.0.2d en 1.0.1p. Sinds gisteren 9de, Juli de release beschikbaar is geweest, zoals vermeld in de aankondiging. Het gaat om gedetecteerd CVE-2015-1793 (Alternatieve ketens certificaat vervalsing) dat is geclassificeerd als kwetsbaarheid met een hoge severity.Google onderzoeker Adam Langley en BoringSSL's David Benjamin meldde de bug twee weken geleden aan de OpenSSL project.

De kernel van CVE-2015-1793

Volgens OpenSSL Security Advisory de kern van het probleem is dat OpenSSL kan falen om nauwkeurig te valideren als een certificaat wordt afgegeven door een betrouwbare CA (Certificate Authority). Dit op zijn beurt aanvallers de mogelijkheid om op te treden als CA en distribueren van ongeldige certificaten voor de uitvoering van man-in-the-middle-aanvallen. Deze bug maakt de aanvallers in staat om veroorzaken van applicaties om niet-vertrouwde en ongeldige SSL zien (Secure Sockets Layer) certificaten als geldig. Dus, de bescherming van de geheimen die tussen clients en servers bewerkstelligd door cryptografische procedures wordt uitgeschakeld. Toepassingen die certificaten met TLS / SSL / DTLS opdrachtgevers en TLS / SSL / DTLS servers gebruik van client-authenticatie controleren kan worden beïnvloed door de uitgifte.

In feite OpenSSL versies 1.0.2c, 1.0.2b, 1.0.1n en 1.0.1o hebben last van dit beveiligingslek.

De OpenSSL Project Team vermeldde ook dat versie 1.0.0 of 0.9.8 releases worden niet beïnvloed door deze bug.

    noodzakelijke upgrades

  • Gebruikers met behulp van OpenSSL 1.0.2b / 1.0.2c moeten upgraden naar 1.0.2d.
  • Gebruikers met behulp van OpenSSL 1.0.1n / 1.0.1o moeten upgraden naar 1.0.1p.

onaangetast deelnemers

Gelukkig, Mozilla Firefox, Apple Safari en Internet Explorer worden niet beïnvloed, omdat zij niet OpenSSL gebruiken voor certificaatvalidatie. Zij passen hun crypto bibliotheken. Zoals voor Google Chrome, het maakt gebruik van BoringSSL die Google gemaakt versie van OpenSSL in samenwerken met OpenSSL-ontwikkelaars.
De OpenSSL pakketten gedistribueerd met Red Hat, Debian en Ubuntu deel van Linux-distributies zijn ook niet beïnvloed.
Open source solution provider Red Hat maakte ook een Aankondiging over dit onderwerp, dat zelfs zij hadden geen OpenSSL updates sinds juni 2015 ze nog helemaal niet beïnvloed door dit beveiligingslek.

Geef een reactie

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Time limit is exhausted. Please reload the CAPTCHA.