SLOTH: TLS 1.2 sérülékenység

CH azonosító

CH-12925

Angol cím

SLOTH: TLS 1.2 vulnerability

Felfedezés dátuma

2016.01.05.

Súlyosság

Közepes

Érintett rendszerek

OpenSSH
OpenSSL
OpenSSL Software Foundation
TLS protocol

Érintett verziók

OpenSSL 1.0.1f, NSS 3.21, GNU TLS 3.3.15, Java 1.54 C# 1.8.1 mbedTLS 2.2.1, 2.1.4, 1.3.16 előtti verziói

Összefoglaló

A TLS sérülékenysége vált ismerté, melyet kihasználva egy közbeékelődött támadó bizalmas információkat szerzhet meg.

Leírás

A séülékenységet az okozza, hogy a TLS1.2 kényszeríthető a ServerKeyExchange és Client Authentication csomagok MD5 aláírására, a TLS handsake alatt. Ezt kihasználva egy közbeékelődött támadó ütközéses támadásokat végrehajtva képes lehet megszemélyesíteni egy TLS szervert, vagy egy hitelesített TLS klienst.

A sérülékenységet SLOTH-nak (Security Losses from Obsolete and Truncated Transcript Hashes) neveték el.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen az  OpenSSL 1.0.1f, NSS 3.21, GNU TLS 3.3.15, Java 1.54 C# 1.8.1 mbedTLS 2.2.1, 2.1.4, 1.3.16 verzióira


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »