image

OpenSSL dicht Bleichenbacher-lek

dinsdag 13 maart 2012, 10:07 door Redactie, 0 reacties

Er is een nieuwe versie van OpenSSL verschenen, de opensource implementatie van de SSL en TLS protocollen, die de Bleichenbacher-aanval voorkomt. OpenSSL biedt allerlei cryptografische functies voor het versleutelen van berichten en verkeer. Een kwetsbaarheid in de CMS en PKCS #7 code van OpenSSL, maakt het mogelijk om een Bleichenbacher-aanval op PKCS #1 v1.5 RSA padding uit te voeren.

Hierdoor is het mogelijk om de inhoud van versleutelde berichten te bekijken. Een aanvaller moet in dit geval miljoenen test ciphertexts naar bijvoorbeeld de met SSL-beveiligde web- of mailserver sturen. Vervolgens zou binnen een dag of minder de SSL sessiesleutel zijn te achterhalen.

Volgens het OpenSSL-team zijn hiervoor 1.048.576 berichten nodig. "In de praktijk worden alleen geautomatiseerde systemen door getroffen, aangezien mensen niet zoveel berichten willen verwerken." Gebruikers krijgen het advies om naar versie 1.0.0h en 0.9.8u te upgraden.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.