多个厂商TLS协议会话重新协商中间人攻击漏洞

发表评论 (0) 查看评论

受影响系统:

Apache Group Apache 2.2.9
Apache Group Apache 2.2.8
Microsoft IIS 7.5
Microsoft IIS 7.0
OpenSSL Project OpenSSL 0.9.x
GNU GnuTLS 2.x

不受影响系统:

OpenSSL Project OpenSSL 0.9.8l

描述:

传输层安全协议(TLS)是确保互联网上通信应用和其用户隐私的协议。

多个厂商的TLS协议实现中的会话重新协商过程受中间人攻击的影响,扮演为中间人的恶意服务器可以向应用协议流的开始处注入受控的明文,这有助于各种网络欺骗攻击。

<*来源:Marsh Ray
        Steve Dispensa
  
  链接:http://secunia.com/advisories/37291/
        http://secunia.com/advisories/37292/
        http://lists.gnu.org/archive/html/gnutls-devel/2009-11/msg00014.html
        http://extendedsubset.com/?p=8
*>

测试方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

 

http://marc.info/?l=full-disclosure&m=125745814331992&q=p3

建议:

厂商补丁:

OpenSSL Project
—————
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.openssl.org/source/openssl-0.9.8l.tar.gz

发表评论?

0 条评论。

发表评论