Portál AbcLinuxu, 22. července 2025 15:11


Chyba v SSL/TLS umožňuje vložení obsahu

Byla nalezena chyba v protokolu SSL/TLS, která umožňuje, aby útočník do spojení vložil data. Z popisu problému jde o obecný autentizační nedostatek, nikoliv o chybu konkrétní implementace. Pracuje se na návrhu, jak chybu řešit. Popis na H-Online.

6.11.2009 11:02 | Luboš Doležel (Doli) | IT novinky


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

andree avatar 6.11.2009 13:42 andree | skóre: 39 | blog: andreeeeelog
Rozbalit Rozbalit vše Re: Chyba v SSL/TLS umožňuje vložení obsahu
Odpovědět | Sbalit | Link | Blokovat | Admin

ouch...

One possibility would be to issue client certificates earlier, before a specific URL is requested.

rozumiem tomu dobre, ze to efektivne zabrani konfiguracii viacerych SSL virtualhostov na jednu IP adresu? tusim ze sa prave kvoli tejto feature TLS rozsirovalo (uz davnejsie), a teraz to zase bude musiet ist k ladu? :)

 

6.11.2009 19:01 d.c. | skóre: 30
Rozbalit Rozbalit vše Re: Chyba v SSL/TLS umožňuje vložení obsahu
Ne, jde o "certifikaty klientu".
6.11.2009 14:07 Ladislav Hagara | skóre: 105 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Chyba v SSL/TLS umožňuje vložení obsahu
Odpovědět | Sbalit | Link | Blokovat | Admin
V novém OpenSSL 0.9.8l je problém "vyřešen" zakázáním opětovného vyjednávání. 
 Changes between 0.9.8k and 0.9.8l  [5 Nov 2009]

  *) Disable renegotiation completely - this fixes a severe security
     problem (CVE-2009-3555) at the cost of breaking all
     renegotiation. Renegotiation can be re-enabled by setting
     SSL3_FLAGS_ALLOW_UNSAFE_LEGACY_RENEGOTIATION in s3->flags at
     run-time. This is really not recommended unless you know what
     you're doing.
     [Ben Laurie]
6.11.2009 17:30 PavelC
Rozbalit Rozbalit vše Re: Chyba v SSL/TLS umožňuje vložení obsahu
Odpovědět | Sbalit | Link | Blokovat | Admin
Hmm, další příklad toho, že bezpečnost zdaleka není jen o síle šifry (RSA 1024B ?) nebo délce hesla :(
7.11.2009 09:44 xurpha
Rozbalit Rozbalit vše Re: Chyba v SSL/TLS umožňuje vložení obsahu
Odpovědět | Sbalit | Link | Blokovat | Admin
Jinak, originální blogposty: „Another Protocol Bites The Dust“ a „SSL MitM Attack, Part 2“.
Pro apache je venku patch (viz svn diff -r833581:833594 https://svn.apache.org/repos/asf/httpd/httpd/trunk/modules/ssl), který renegotioation taky zakáže, pokud v systému ještě není OpenSSL 0.9.8l.
27.6.2017 14:57 nike airmax pas cher
Rozbalit Rozbalit vše Re: Chyba v SSL/TLS umožňuje vložení obsahu
Odpovědět | Sbalit | Link | Blokovat | Admin
replica yeezy boost 350 It is very interesting and worth reading

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.