OpenSSL Fast Man-In-The-Middle angrep CVE-2015-1793 (Oppdater 2019)

OpenSSL Fast Man-In-The-Middle angrep CVE-2015-1793 (Oppdater 2019)

En bug funnet i OpenSSL gir angripere til å fungere som CA (Certificate Authority)

OpenSSL annonsert på mandag denne uken om den kommende utgivelsen av versjon 1.0.2d og 1.0.1p. Siden i går niende, Juli utgivelsen har vært tilgjengelig som nevnt i kunngjøringen. Det dreier seg om detektert CVE-2015-1793 (Alternative kjeder sertifikat forfalskning) som er klassifisert som sårbarhet med høy severity.Google forskeren Adam Langley og BoringSSL David Benjamin rapporterte feilen to uker siden for å OpenSSL-prosjektet.

Kernel av CVE-2015-1793

Ifølge OpenSSL-sikkerhet Kjernen i problemet er at OpenSSL kan mislykkes i å validere nøyaktig hvis et sertifikat utstedt av en pålitelig CA (Certificate Authority). Dette i sin tur gjør at hackere kan fungere som CA og distribuere ugyldige sertifikater for implementering man-in-the-middle-angrep. Denne feilen gjør at angriperne i stand til å forårsake programmer for å se upålitelig og ugyldig SSL (Secure Sockets Layer) sertifikater som gyldig. Dermed, beskyttelse av hemmelighetene som sendes mellom klienter og servere oppnås ved kryptografiske fremgangsmåter er deaktivert. Applikasjoner som bekrefter sertifikater som inneholder TLS / SSL / TLS DTLS klienter og / SSL / DTLS servere som bruker klientautentisering kan påvirkes av problemet.

Faktisk OpenSSL versjoner 1.0.2c, 1.0.2b, 1.0.1n og 1.0.1o påvirkes av denne sikkerhetsproblemet.

OpenSSL Project teamet også nevnes at versjon 1.0.0 eller 0.9.8 utgivelser er ikke berørt av denne feilen.

    nødvendige oppgraderinger

  • Brukere som bruker OpenSSL 1.0.2b / 1.0.2c bør oppgradere til 1.0.2d.
  • Brukere som bruker OpenSSL 1.0.1n / 1.0.1o bør oppgradere til 1.0.1p.

upåvirket Deltakere

Heldigvis, Mozilla Firefox, Apple Safari og Internet Explorer er ikke berørt fordi de ikke bruker OpenSSL for validering av sertifikat. De gjelder deres krypto biblioteker. Som for Google Chrome, den bruker BoringSSL som er Google laget versjon av OpenSSL i samarbeide med OpenSSL-utviklere.
OpenSSL pakker distribueres med Red Hat, Debian og Ubuntu del av Linux-distribusjoner er heller ikke berørt.
Åpen kildekode løsning leverandør Red Hat også gjort en kunngjøring om dette emnet at selv de hadde ingen OpenSSL oppdateringer siden juni 2015 de fortsatt helt upåvirket av dette sikkerhetsproblemet.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket *

Time limit is exhausted. Please reload the CAPTCHA.