CH azonosító
CH-12925Angol cím
SLOTH: TLS 1.2 vulnerabilityFelfedezés dátuma
2016.01.05.Súlyosság
KözepesÉrintett rendszerek
OpenSSHOpenSSL
OpenSSL Software Foundation
TLS protocol
Érintett verziók
OpenSSL 1.0.1f, NSS 3.21, GNU TLS 3.3.15, Java 1.54 C# 1.8.1 mbedTLS 2.2.1, 2.1.4, 1.3.16 előtti verziói
Összefoglaló
A TLS sérülékenysége vált ismerté, melyet kihasználva egy közbeékelődött támadó bizalmas információkat szerzhet meg.
Leírás
A séülékenységet az okozza, hogy a TLS1.2 kényszeríthető a ServerKeyExchange és Client Authentication csomagok MD5 aláírására, a TLS handsake alatt. Ezt kihasználva egy közbeékelődött támadó ütközéses támadásokat végrehajtva képes lehet megszemélyesíteni egy TLS szervert, vagy egy hitelesített TLS klienst.
A sérülékenységet SLOTH-nak (Security Losses from Obsolete and Truncated Transcript Hashes) neveték el.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen az OpenSSL 1.0.1f, NSS 3.21, GNU TLS 3.3.15, Java 1.54 C# 1.8.1 mbedTLS 2.2.1, 2.1.4, 1.3.16 verzióira
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.mitls.org
Egyéb referencia: threatpost.com
Egyéb referencia: access.redhat.com
CVE-2015-7575 - NVD CVE-2015-7575