A Google biztonsági csapata man-in-the-middle támadásra lehetőséget adó sebezhetőséget fedeztett fel a népszerű OpenSSL csomag kliens részében. Az EVP_VerifyFinal() függvény visszatérési értéke több helyen is helyetenül került ellenőrzésre, ezért a DSA és ECDSA szabvány szerint aláírt tanúsítványok ellenőrzése nem mindig történt megfelelően.
Ajánlott frissíteni a legfrissebb, 0.9.8j változatra. A nagyobb linux disztribúciókhoz illetve BSD változatokhoz már megjelentek a frissített csomagok.
Frissítés: A probléma az OpenSSL függvénykönyvtárát használó egyéb szoftvereket is érintheti, probléma merülhet fel pl. a BIND és az NTP esetében is, ezeket is érdemes frissíteni.
synapse · http://www.synsecblog.com 2009.01.08. 11:09:26
synapse · http://www.synsecblog.com 2009.01.08. 11:12:25
synapse · http://www.synsecblog.com 2009.01.08. 11:54:23
So: Akinek RSA-val szajnolva a kulcsa az _nem_ erintett. Ez nagyjabol manapsag mar mindenkire igaz.
Egyet viszont nem ertek. Ha vki otthon van cryptoban, az megsughatna:
Miert hash-eljuk el a certet? Miert nem lehet az egeszet crypt-elni? Megszunnenek a collision-os parak peldaul azonnal.
Vagy nagyon nagy baromsagokat kerdezek? :)
synapse
buherator · http://buhera.blog.hu 2009.01.08. 12:10:48
synapse · http://www.synsecblog.com 2009.01.08. 12:22:58
en.wikipedia.org/wiki/File:Digital_Signature_diagram.svg
www.otp.hu-n pl:
"Certificate Signature Algorithm: PKCS #1 SHA-1 With RSA Encryption"
Tehat sha-1-el hashel es rsa-t hasznal alairsaho'
synapse
buherator · http://buhera.blog.hu 2009.01.08. 12:55:29
buherator · http://buhera.blog.hu 2009.01.08. 13:30:22
synapse · http://www.synsecblog.com 2009.01.08. 14:22:01
synapse
buherator · http://buhera.blog.hu 2009.01.08. 14:26:47
synapse · http://www.synsecblog.com 2009.01.08. 16:29:10
:)
synapse
noss 2009.01.10. 18:02:40
mer még nem frissült.
opera:about - This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit.