Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out

Promó

H.A.C.K.

Keresés

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Magyar blogok

Magyar oldalak

Külföldi oldalak

Kultúra

Feedek

XML

Archívum

hacker jelvény

Licensz

Creative Commons Licenc

Parancsvégrehajtásra alkalmas hiba több STARTTLS implementációban

2011.03.10. 11:50 | buherator | Szólj hozzá!

Wietse Venema, a Postfix fejlesztője a napokban felfedezett egy sérülékenységet a saját STARTTLS implementációjában, amely több más szoftverben is előfordul. A probléma az, hogy a titksított és hitelesített kapcsolat létrehozására utasító STARTTLS parancs után sortöréssel beszúrható még egy, tetszőleges utasítás. Ez értelemszerűen még titkosítatlan és hitelesítetlen csatornán közlekedik, így egy útba eső támadó tetszőleges parancsot beszúrhat a kommunikációba, amely a TLS kapcsolat kiépülése után le is fut*. 

Venema szerint a probléma nem kifejezetten súlyos, tekintve, hogy sok kliens amúgy sem ellenőrzi a szerver tanúsítványát, így a közbeékelődés sok esetben a TLS ellenére is megvalósítható. 

Az érintett szoftverek listáját itt találjátok, a Postfix a 2.7.3, 2.6.9, 2.5.12 és 2.4.16 verziókkal javította a hibát.

* A parancsok természetesen nem az operációsrendszeren, hanem a TLS-t használó alkalmazásban értelmeződnek és hajtódnak végre.

Facebook Tumblr Tweet Pinterest Tetszik
0

Címkék: bug man in the middle starttls

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása