Dziura w protokołach SSL i TLS

2009-11-08 00:00:00 +0000


Poważny błąd w mechanizmie renegocjacji protokołu TLS (Transpor Layer Security) umożliwia przeprowadzenie ataku MITM i w rezultacie wstrzyknięcie wybranego tekstu jawnego do zaszyfrowanego strumienia danych.

Błąd posiada już identyfikator CVE o numerze CVE-2009-3555. Problem dotyczy aktualnej wersji protokołu TLS oraz SSL 3 oraz praktycznie wszystkich dostępnych na rynku implementacji.

5 listopada opublikowana została wersje 0.9.8l popularnej biblioteki kryptograficznej OpenSSL, w której ten błąd został załatany. Brak na razie szczegółów dotyczących obecności dziury w innych implementacjach protokołu TLS.

Szczegóły: