Noch immer von Heartbleed leidet Krypto- Bypass Fehler OpenSSL
06.06.2014 11:15Noch immer von Heartbleed leidet Krypto- Bypass Fehler OpenSSL
Ein Forscher hat mehr schwierig Schwachstelle im Bereich der OpenSSL- Verschlüsselungssätzeaufgedeckt. Es ermöglicht es Angreifern, zu entschlüsseln und stellen Einander , E-Mail und virtuelle vorbehalten Schließer Verkehr durch das Fahrzeug Layer Security (TLS )-Protokoll , das Internet ist in der Regel weit verbreitete Methode zur Unterstützung der Verschlüsselung des Datenverkehrs Wander Zusammenhang mit einem Endanwender kommen geschützt und Servern.
Das TLS- Bypass nutzt sich selbst ausüben einfach als Datenverkehr gesendet , bevor altehrwürdige von einem Mitglied des Personal, das am Tisch läuft OpenSSL 1.0.1 und 1.0.2 - Beta1 , Maintainer der Open-Source- Datensätzen gewarnt, auf dem Gebiet der in beratender Drucken Donnerstag . Das Beratungs fuhr fort zu sagen , so dass Server mit einer früheren Version als 1.0.1 soll halten gleichzeitig als Vorsichtsmaßnahme veröffentlicht. Die Sicherheitslücke ist seit der zunächst befreien von OpenSSL, ca. 16 Jahre in der Vergangenheit existierte. Rekorde Updates sind auf der Vorderseite Anruf aus dem OpenSSL -Website zugänglich . Öffentlichkeit, die Server mit OpenSSL verwalten angenommen werden, zu halten in der gleichen Zeit so schnell in der gleichen Zeit als lebensfähig geschrieben .
Die zugrunde liegende Sicherheitsanfälligkeit , formal in der gleichen Zeit als CVE- 2014-0224 katalogisiert , liegt auf dem Gebiet der ChangeCipherSpec heraus geben , nach einer Übersicht Druck Donnerstag von Lepidium , der Software-Entwickler , um die nackte Fehler und meldete es privat OpenSSL . Es macht es lebensfähig zur Unterstützung der Angreifer, die Beobachter kann eine Verbindung über ein an einen Endverbraucher und Mitarbeiter dient am Tisch der schwachen kryptographischen Schlüssel auf Client- Verfahren zwingen, zu kommen. Angreifer können neben Einzelpersonen nutzen Tasten, um den Datenverkehr zu entschlüsseln , noch bevor die Daten anpassen zuvor übertragen zu ihrem Bestimmungsort .
" OpenSSL ChangeCipherSpec geben sich eine ernsthafte Sicherheitslücke ", die Lepidium Beratungs erklärte . " Diese Sicherheitslücke ermöglicht es bösartigen Zwischenknoten auf verschlüsselte Daten abfangen und entschlüsseln , während zwingen SSL-Clients zu schwache Schlüssel , die den bösartigen Knoten ausgesetzt sind, zur Geltung. Nähe gibt Risiken der Manipulation mit den Heldentaten auf die Inhalte und Bestätigung in Auftrag geschlossen über Chaos -Browsing verschlüsselte Übertragung , E-Mail und VPN , da die Software verwendet die betroffenen Version von OpenSSL . "
Client- Verfahren sind anfällig nix relevanten Ich bitte um Entschuldigung sein? Grown -up Version von OpenSSL sie läuft. Zur gleichen Zeit wie früher erklärte , sind Server gefährdet, da läuft 1.0.1 und 1.0.2 - bata1 , nach einem begleitenden Beratungs OpenSSL . Die Angriffe sind lebensfähig einfach als beide Seiten eine verwundbare OpenSSL -Version.
Während ernst, die meisten up- to-date OpenSSL Fehler nicht in der gleichen Zeit , wie schwierig in der gleichen Zeit wie die Heartbleed Schwachstelle , so dass 8 Wochen wurde in der Vergangenheit offenbart. Das ist, wie Angriffe, die Schwachstelle Prügel sind schwerer zu haben im Lager verschenkt und sind in der Regel mit einer Verringerung der schädlichen . Wo Heartbleed akzeptabel jemand schädliche Datenpakete weiterzuleiten , um so wäre eine verwundbare Mechanismus zu zwingen, Passwörter, kryptographische Schlüssel und andere sehr dünnhäutig Daten , die meisten up- to-date -Angriffe verbreiten kann einfach Bypass- Verschlüsselung zur Unterstützung einer einzelnen Verbindung belagert . Und sie können einfach live von Öffentlichkeit mit etwa Grad der Kontrolle stellte die Verbindung ausgeführt . Frei von Zweifel , das ist ernst, aber nicht die Katastrophe von Heartbleed besucht.
" Die Nachricht ist höflich , um diese Angriffe müssen man-in- the-Middle- Situation mit dem Opfer ausgerichtet und um nicht- OpenSSL -Clients ( IE, Firefox, Chrome auf dem Desktop und iOS, Expedition usw.) sind nicht betroffen , " Adam Langley, eine weithin anerkannte Kryptologen -und Software- Ingenieur, der Einrichtung zur Unterstützung von Google, schrieb im Bereich der technischen Analyse . "Keiner der mit einer Reduktion der alle OpenSSL -Benutzer angenommen werden, um die Aktualisierung zu leben."
Unverbunden , verstanden die OpenSSL Beratungs um Donnerstag Updates behoben einige andere Schwachstellen , um akzeptable Angreifern, Schadcode implementieren tenuously auf Servern vor einem Endbenutzer Getriebe-und Crash- Verfahren zu kommen. Die in der Regel schwerwiegende unter ihnen ist ein Speicher -Korruptions- Schwachstelle im Bereich der OpenSSL-Implementierung des Datagramms Fahrzeug Layer Security ( DTLS ) Bestandteil und wird gleichzeitig als CVE- 2014 bis 0195 katalogisiert. Es wurde von dem gleichen Entwickler verantwortlich zur Unterstützung der Heartbleed Bug eingeführt. Im Bereich der zusätzlich zu der vor vor Link, hat Hewlett- Packard Zilch Zeitraum Initiative Cluster einen separaten Blog- Situation in Bezug auf die Schwachstelle zu diesem Zeitpunkt. Eine separate Blog von Symantec Situation wirft zusätzliches Licht .
Related : https://cherideng06.meinblog.at/
———
Zurück