OpenSSL Fast man-in-the-middle attack CVE-2015-1793 (Uppdatering 2019)

OpenSSL Fast man-in-the-middle attack CVE-2015-1793 (Uppdatering 2019)

En bugg som finns i OpenSSL låter angripare att agera som CA (certifikatutfärdare)

OpenSSL meddelat på måndag denna vecka om den kommande lanseringen av version 1.0.2d och 1.0.1p. Sedan igår 9th, Juli lanseringen har varit tillgänglig som nämns i tillkännagivandet. Det rör detekteras CVE-2015-1793 (Alternativa kedjor certifikat förfalskning) som klassas som sårbarhet med hög severity.Google forskare Adam Langley och BoringSSL David Benjamin rapporterade felet för två veckor sedan till OpenSSL-projektet.

Kärnan i CVE-2015-1793

Enligt OpenSSL Security Advisory Kärnan i problemet är att OpenSSL kan undgå att validera exakt om ett intyg utfärdas av en pålitlig CA (certifikatutfärdare). Detta i sin tur gör det möjligt för angripare att agera som CA och distribuera ogiltiga certifikat för att genomföra man-in-the-middle-attacker. Felet gör angriparna kan Engendering program för att se opålitlig och ogiltiga SSL (Secure Sockets Layer) certifikat som giltig. Således, skyddet av hemligheterna skickas mellan klienter och servrar åstadkommes genom kryptografiska förfaranden är inaktiverad. Program som verifierar certifikat som innehåller TLS / SSL / DTLS kunder och TLS / SSL / DTLS servrar med klientautentisering kan påverkas av problemet.

I själva verket OpenSSL versioner 1.0.2c, 1.0.2b, 1.0.1n och 1.0.1o påverkas av denna sårbarhet.

OpenSSL Project Team nämnde också att version 1.0.0 eller 0.9.8 släpper inte påverkas av detta fel.

    nödvändiga uppgraderingar

  • Användare som använder OpenSSL 1.0.2b / 1.0.2c bör uppgradera till 1.0.2d.
  • Användare som använder OpenSSL 1.0.1n / 1.0.1o bör uppgradera till 1.0.1p.

opåverkade Deltagare

som tur är, Mozilla Firefox, Apple Safari och Internet Explorer påverkas inte eftersom de inte använder OpenSSL för validering certifikat. De gäller deras krypto bibliotek. När det gäller Google Chrome, den använder BoringSSL som Google gjort version av OpenSSL i samarbetar med OpenSSL utvecklare.
OpenSSL paket distribueras med Red Hat, Debian och Ubuntu del av Linux-distributioner påverkas inte heller.
Öppen källkod lösningar Red Hat gjorde också en meddelande om detta ämne som även de hade inga OpenSSL uppdateringar sedan juni 2015 de fortfarande helt opåverkad av denna sårbarhet.

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload the CAPTCHA.