c.m.g
06-11-2009, 10:04
pubblicato da Lpt giovedì 05 novembre 2009
http://static.blogo.it/ossblog/2434361987_a70c2e71bb_m.jpg
Si sta espandendo velocemente in rete la notizia che ci sarebbe una vulnerabilità nel protocollo SSL/TLS che può essere sfruttata per inserire dati all’interno di una connessione sicura.
Questo mette a rischio tutti i protocolli che utilizzano connessioni sicure, a partire da quelle https. Il problema non è nella singola implementazione, ma proprio nel protocollo stesso e si fonda su una svista nella gestione della rinegoziazione che consente attacchi di tipo Man in the middle.
Al momento sono sicuramente vulnerabili le ultime versioni di openSSL (http://www.clickblog.it/tag/openssl), Apache (http://www.clickblog.it/tag/apache), IIS e molti altri software che utilizzano il protocollo. Le prime patch che sono uscite puntano alla disabilitazione della rinegoziazione in attesa di una soluzione a lungo termine che è ancora oggetto di discussione.
Per un approfondimento potete seguire la discussione sulla mailing list (http://www.ietf.org/mail-archive/web/tls/current/msg03928.html) del working group IETF sul TLS.
Foto | Dazzie D (http://www.flickr.com/photos/21033592@N00/2434361987/)
Fonte: OssBlog (http://www.ossblog.it/post/5330/vulnerabilita-nel-protocollo-tlsssl) Via | links (http://www.links.org/?p=780)
http://static.blogo.it/ossblog/2434361987_a70c2e71bb_m.jpg
Si sta espandendo velocemente in rete la notizia che ci sarebbe una vulnerabilità nel protocollo SSL/TLS che può essere sfruttata per inserire dati all’interno di una connessione sicura.
Questo mette a rischio tutti i protocolli che utilizzano connessioni sicure, a partire da quelle https. Il problema non è nella singola implementazione, ma proprio nel protocollo stesso e si fonda su una svista nella gestione della rinegoziazione che consente attacchi di tipo Man in the middle.
Al momento sono sicuramente vulnerabili le ultime versioni di openSSL (http://www.clickblog.it/tag/openssl), Apache (http://www.clickblog.it/tag/apache), IIS e molti altri software che utilizzano il protocollo. Le prime patch che sono uscite puntano alla disabilitazione della rinegoziazione in attesa di una soluzione a lungo termine che è ancora oggetto di discussione.
Per un approfondimento potete seguire la discussione sulla mailing list (http://www.ietf.org/mail-archive/web/tls/current/msg03928.html) del working group IETF sul TLS.
Foto | Dazzie D (http://www.flickr.com/photos/21033592@N00/2434361987/)
Fonte: OssBlog (http://www.ossblog.it/post/5330/vulnerabilita-nel-protocollo-tlsssl) Via | links (http://www.links.org/?p=780)