RUS CERT IT Sicherheit

Deutschsprachige IT Sicherheitsmeldungen des RUS CERT (Computer Emergency Response Team des Rechenzentrums der Universität Stuttgart).

Security News Artikel #1602

Zurück zur Übersicht

Meldung Nr: RUS-CERT-1602

[Generic/TLS] Entwurfsschwachstelle in TLS (SSL)
(2009-11-05 17:31:53.960842+00)


Ein Entwurfsfehler im Transaction Layer Security Protokoll (schließt auch SSL ein) kann von einem Angreifer dazu ausgenutzt werden, im Rahmen eines sogenannten Man in the Middle Angriffs Daten in einen kryptographisch abgesicherten Datenstrom einzuschießen und so z.B. unautorisiert Daten an einen Server oder vermeintlich von einem vertauenswürdigen Server stammende Daten an einen Klienten senden. Die Schwachstelle lässt sich auf mehrere Arten ausnutzen und betrifft alle Applikationen und Protokolle, die zur Absicherung ihrer Kommunikation TLS bzw. SSL verwenden.

Inhalt

Zusammenfassung

  • CVE-2009-3555:
    Betroffen: TLS
    Plattform: alle (generic)
    Einfallstor: TLS renegotiation
    Angriffsvoraussetzung:Netzwerk
    Angriffsvektorklasse: remote
    Auswirkung: Einschleusen von Daten
    Typ: Entwurfsfehler
    Gefahrenpotential: Je nach Anwendung: mittel bis sehr hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version bzw. Patch
    Vulnerability ID: CVE-2009-3555

Betroffene Systeme

  • Alle Systeme und Protokolle, die das TLS-Protokoll (sowie der Vorgänger SSL bis einschließlich Version 3.1) implementieren (generic).
    Dies schließt ein: Diese Aufzählung ist nicht vollständig.

Plattform

  • keine Einschränkung (generic)

Einfallstor

Angriffsvoraussetzung

  • Zugriff auf ein Netzwerk, über das ein TLS-Client mit einem TLS-Server spricht, idealerweise mit der Möglichkeit, als Proxy zu fungieren.
    (network)
  • Benutzerinteraktion - Ein TLS-Client muss eine TLS-Verbindung aufbauen (user interaction)

Angriffsvektorklasse

  • über eine Netzwerkverbindung
    (network)

Auswirkung

  • Einschleusen unauthentisierter Daten in den TLS-Datenstrom

Typ der Verwundbarkeit

  • Entwurfsfehler
    (design flaw)

Gefahrenpotential

    Je nach Anwendung kann das Gefahrenpotential schwanken:
  • mittel bis sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Das hybride Verschlüsselungsprotokoll TLS (Transaction Layer Security) bzw. sein Vorgänger SSL (Secure Socket Layer) besitzt eine Entwurfsschwachstelle, die es einem Angreifer, der in der Lage ist, den Datenfluss zwischen einem TLS-Client und einem TLS-Server zu kontrollieren (also im wesentlichen, als sog. Proxy zwischen den beiden agieren zu können), zu manipulieren und unautentisiert Daten an den Server zu schicken, die dieser als vom Client gesendete Daten akzeptiert.

Gegenmaßnahmen

  • Installation entsprechender Herstellerpatches. Eine Übersicht findet sich hier.

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/


http://cert.uni-stuttgart.de/ticker/article.php?mid=1602
 

Scannen Sie den Barcode um die Webseite zu öffnen


Quelle: http://www.trinler.net/de/news/it/cert/1602
Gedruckt am: 23.05.2017 18:41 GMT+0200 (2017-05-23T18:41:20+02:00)