Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Parancsvégrehajtásra alkalmas hiba több STARTTLS implementációban

2011.03.10. 11:50 | buherator | Szólj hozzá!

Wietse Venema, a Postfix fejlesztője a napokban felfedezett egy sérülékenységet a saját STARTTLS implementációjában, amely több más szoftverben is előfordul. A probléma az, hogy a titksított és hitelesített kapcsolat létrehozására utasító STARTTLS parancs után sortöréssel beszúrható még egy, tetszőleges utasítás. Ez értelemszerűen még titkosítatlan és hitelesítetlen csatornán közlekedik, így egy útba eső támadó tetszőleges parancsot beszúrhat a kommunikációba, amely a TLS kapcsolat kiépülése után le is fut*. 

Venema szerint a probléma nem kifejezetten súlyos, tekintve, hogy sok kliens amúgy sem ellenőrzi a szerver tanúsítványát, így a közbeékelődés sok esetben a TLS ellenére is megvalósítható. 

Az érintett szoftverek listáját itt találjátok, a Postfix a 2.7.3, 2.6.9, 2.5.12 és 2.4.16 verziókkal javította a hibát.

* A parancsok természetesen nem az operációsrendszeren, hanem a TLS-t használó alkalmazásban értelmeződnek és hajtódnak végre.

Címkék: bug man in the middle starttls

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.