[Linuxtrent] Scoperta falla nel protocollo SSL
- From: Roberto Resoli <roberto.resoli@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Tue, 10 Nov 2009 06:54:12 +0100
Dalla notizia su punto informatico.
----
Come spiegato dai due esperti di sicurezza in questo articolo,
http://www.phonefactor.com/sslgap/
la vulnerabilità riguarda il meccanismo di autenticazione di SSL e
può essere sfruttata da un aggressore per inserirsi all'interno di una
comunicazione protetta - un attacco noto come man-in-the-middle - e
inserire nel flusso delle informazioni cifrate dei comandi a sua
scelta: ciò potrebbero renderlo in grado di alterare i dati trasmessi,
iniettarvi del codice maligno e, ancor peggio, ottenere il certificato
digitale del client, assumendone così l'identità. In altre parole,
nella mani di un abile cracker la falla potrebbe essere utilizzata per
manipolare ed eventualmente dirottare una comunicazione SSL/TLS.
------
Dalla pagina di phonefactor:
"Because this is a protocol vulnerability, and not merely an
implementation flaw, the impacts are far-reaching. All SSL libraries
will need to be patched, and most client and server applications will,
at a minimum, need to include new copies of SSL libraries in their
products. Most users will eventually need to update any software that
uses SSL."
:-(
rob
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
