受影响系统:
Apache Group Apache 2.2.9
Apache Group Apache 2.2.8
Microsoft IIS 7.5
Microsoft IIS 7.0
OpenSSL Project OpenSSL 0.9.x
GNU GnuTLS 2.x
不受影响系统:
OpenSSL Project OpenSSL 0.9.8l
描述:
传输层安全协议(TLS)是确保互联网上通信应用和其用户隐私的协议。
多个厂商的TLS协议实现中的会话重新协商过程受中间人攻击的影响,扮演为中间人的恶意服务器可以向应用协议流的开始处注入受控的明文,这有助于各种网络欺骗攻击。
<*来源:Marsh Ray
Steve Dispensa
链接:http://secunia.com/advisories/37291/
http://secunia.com/advisories/37292/
http://lists.gnu.org/archive/html/gnutls-devel/2009-11/msg00014.html
http://extendedsubset.com/?p=8
*>
测试方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://marc.info/?l=full-disclosure&m=125745814331992&q=p3
建议:
厂商补丁:
OpenSSL Project
—————
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
0 条评论。