SLOTH: TLS 1.2 sérülékenység

2016. január 12. 07:14

CH azonosító

CH-12925

Angol cím

SLOTH: TLS 1.2 vulnerability

Felfedezés dátuma

2016.01.05.

Súlyosság

Közepes

Érintett rendszerek

OpenSSH
OpenSSL
OpenSSL Software Foundation
TLS protocol

Érintett verziók

OpenSSL 1.0.1f, NSS 3.21, GNU TLS 3.3.15, Java 1.54 C# 1.8.1 mbedTLS 2.2.1, 2.1.4, 1.3.16 előtti verziói

Összefoglaló

A TLS sérülékenysége vált ismerté, melyet kihasználva egy közbeékelődött támadó bizalmas információkat szerzhet meg.

Leírás

A séülékenységet az okozza, hogy a TLS1.2 kényszeríthető a ServerKeyExchange és Client Authentication csomagok MD5 aláírására, a TLS handsake alatt. Ezt kihasználva egy közbeékelődött támadó ütközéses támadásokat végrehajtva képes lehet megszemélyesíteni egy TLS szervert, vagy egy hitelesített TLS klienst.

A sérülékenységet SLOTH-nak (Security Losses from Obsolete and Truncated Transcript Hashes) neveték el.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen az OpenSSL 1.0.1f, NSS 3.21, GNU TLS 3.3.15, Java 1.54 C# 1.8.1 mbedTLS 2.2.1, 2.1.4, 1.3.16 verzióira

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-26630 – Microsoft Access RCE sebezhetősége

CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége

CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége

CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége

CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége

CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége

CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége

CVE-2019-9875 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége

CVE-2019-9874 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége

Tovább a sérülékenységekhez »

SLOTH: TLS 1.2 sérülékenység