Portál AbcLinuxu, 4. května 2025 10:22

FREAK, útok na SSL/TLS komunikaci

Tým miTLS publikoval informace o útoku na SSL/TLS komunikaci, jenž byl pojmenován FREAK (Factoring RSA Export Keys). Například v OpenSSL se jedná o bezpečnostní chybu CVE-2015-0204, jež byla opravena ve verzích 1.0.1k, 1.0.0p a 0.9.8zd již 8. ledna (zprávička). Z historických důvodů (Wikipedia) mohou některé implementace SSL/TLS podporovat slabé kryptografické algoritmy. Webový prohlížeč je normálně nepoužívá a při navazování SSL/TLS je nenabízí. Výzkumný tým našel způsob, jak pomocí MITM některé webové prohlížeče přinutit tyto slabé algoritmy použít. Podmínkou je podpora stejných slabých algoritmů také na webovém serveru. Test prohlížeče a statistiky na FREAKAttack.com.

4.3.2015 01:10 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

4.3.2015 13:00 24horas
Rozbalit Rozbalit vše Re: FREAK, útok na SSL/TLS komunikaci
Odpovědět | Sbalit | Link | Blokovat | Admin
Prosim vice bugu s idiotskymi udernymi nazvy
xkucf03 avatar 4.3.2015 23:15 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: FREAK, útok na SSL/TLS komunikaci
+1
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
5.3.2015 06:42 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: FREAK, útok na SSL/TLS komunikaci
nedělěj si z toho srandu, je to vážná věc. Není jednoduché vymyslet takovej název a pak vymyslet z čeho je to náhodou zkratka.
Hans1024 avatar 4.3.2015 13:32 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: FREAK, útok na SSL/TLS komunikaci
Odpovědět | Sbalit | Link | Blokovat | Admin
A to je zneuziti jedne z tech zbytecnosti, ktere z LibreSSL uz davno vykuchali.
Veni, vidi, copi
4.3.2015 14:01 pavel
Rozbalit Rozbalit vše Re: FREAK, útok na SSL/TLS komunikaci
Nechapu co brani distribucim nasadit do vyvojove vetve LibreSSL. Takovy Void Linux pouziva vyhradne LibreSSL a vsechny vyznamne programy s nim bez problemu bezi.
4.3.2015 16:37 chrono
Rozbalit Rozbalit vše Re: FREAK, útok na SSL/TLS komunikaci
Minulú chybu v OpenSSL opravili až dlho po tom, ako bola opravená v OpenSSL. ;)
4.3.2015 16:38 chrono
Rozbalit Rozbalit vše Re: FREAK, útok na SSL/TLS komunikaci
Minulú chybu v OpenSSL, ktorá bola aj v LibreSSL, ...
Hans1024 avatar 4.3.2015 17:24 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: FREAK, útok na SSL/TLS komunikaci
Tahle nevyhoda je z velke casti zpusobena prave soucasnym malym poctem uzivatelu LibreSSL - nalezce chyby se neobtezuje informovat o ni nikoho jineho nez OpenSSL, ve ktere ji ostatne nasel.

Na druhou stranu FREAK je zase prikladem toho, ze procisteni kodu nese sve ovoce. Kdyby vyznamne distribuce presly na LibreSSL, mohli bychom mit obe vyhody :-)
Veni, vidi, copi
5.3.2015 08:20 Sid
Rozbalit Rozbalit vše Re: FREAK, útok na SSL/TLS komunikaci
tusim si zaroven odpovedal aj cloveku co sa pytal nad tebou o prechode na libressl.

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.