Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

OpenSSL probléma

2009.01.08. 09:26 | buherator | 11 komment

A Google biztonsági csapata man-in-the-middle támadásra lehetőséget adó sebezhetőséget fedeztett fel a népszerű OpenSSL csomag kliens részében. Az EVP_VerifyFinal() függvény visszatérési értéke több helyen is helyetenül került ellenőrzésre, ezért a DSA és ECDSA szabvány szerint aláírt tanúsítványok ellenőrzése nem mindig történt megfelelően.

Ajánlott frissíteni a legfrissebb, 0.9.8j változatra. A nagyobb linux disztribúciókhoz illetve BSD változatokhoz már megjelentek a frissített csomagok.

Frissítés: A probléma az OpenSSL függvénykönyvtárát használó egyéb szoftvereket is érintheti, probléma merülhet fel pl. a BIND és az NTP esetében is, ezeket is érdemes frissíteni.

Címkék: bug openssl man in the middle

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://www.synsecblog.com 2009.01.08. 11:09:26

2008-ban illik azert rsa-val (is) alafirkantani.

synapse · http://www.synsecblog.com 2009.01.08. 11:54:23

Na, osszekapartam az accsejtjeimet egy kaveval.

So: Akinek RSA-val szajnolva a kulcsa az _nem_ erintett. Ez nagyjabol manapsag mar mindenkire igaz.

Egyet viszont nem ertek. Ha vki otthon van cryptoban, az megsughatna:
Miert hash-eljuk el a certet? Miert nem lehet az egeszet crypt-elni? Megszunnenek a collision-os parak peldaul azonnal.

Vagy nagyon nagy baromsagokat kerdezek? :)

synapse

synapse · http://www.synsecblog.com 2009.01.08. 12:22:58

Ahem

en.wikipedia.org/wiki/File:Digital_Signature_diagram.svg


www.otp.hu-n pl:
"Certificate Signature Algorithm: PKCS #1 SHA-1 With RSA Encryption"

Tehat sha-1-el hashel es rsa-t hasznal alairsaho'

synapse

buherator · http://buhera.blog.hu 2009.01.08. 12:55:29

Itt sem a certet hasheled hanem a datat. Ha azon a helyen kétirányú kriptót használsz, akkor 100%-os overheadet kapsz + sztem vannak egyéb issuek is, amiket még nem volt időm végiggondolni.

buherator · http://buhera.blog.hu 2009.01.08. 13:30:22

Na asszem rájöttem mi okozta a félreértést: szóval a cert-et is elhashelik, de ez csak a tanúsítvány azonosítására szolgál amennyire tudom, kripto szempontból nincs jelentősége.

synapse · http://www.synsecblog.com 2009.01.08. 14:22:01

yep. Na de miert a hash-t irjuk ala es miert nem az egeszet?

synapse

buherator · http://buhera.blog.hu 2009.01.08. 14:26:47

Lásd 2-vel feljebb + az asszimetrikus kriptó nagyon lassú, ezért nem érdemes vele nagy adatmennyiséget titkosítani.

synapse · http://www.synsecblog.com 2009.01.08. 16:29:10

felreertesz, en a certrol beszelek. De kozben rajottem -> fix hosszu fingerprintje kell legyen igy nem sign-olhatjuk az egeszet

:)

synapse

noss 2009.01.10. 18:02:40

opera is érintett?
mer még nem frissült.

opera:about - This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit.