Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Vi har två jobbannonser ute just nu: Sök till Systemadministratör eller Övningsansvarig senast 18 augusti.

Uppdaterad | Publicerad - Sårbarhet, krypto

SR09-182 TLS - Sårbar implementation hos ett flertal leverantörer

Sårbarheten kan utnyttjas för att utföra en "man-in-the-middle"-attack.

Problembeskrivning

CVE-referens: CVE-2009-3555

Sårbarheten finns i ett flertal leverantörers implementation av TLS och mer specifikt när en TLS-session ska omförhandlas. Vid ett effektivt utnyttjande kan en angripare som placerat sig mellan en användare och en TLS-skyddad tjänst skicka med godtycklig klartext i en, för användaren, till synes, skyddad session. Detta kan utnyttjas för att till exempel injicera en godtycklig HTTP-förfrågan.

Sårbarheten drabbar bland annat flera versioner av OpenSSL och GnuTLS. För en utförlig lista över drabbade leverantörer och versioner se: http://www.securityfocus.com/bid/36935/info

Mer information och programrättningar

http://www.securityfocus.com/bid/36935

http://extendedsubset.com/?p=8

http://www.ietf.org/mail-archive/web/tls/current/msg03942.html